El Tribunal Federal de Canadá publicó una versión redactada de una resolución que confirma que el servicio de inteligencia canadiense CSIS obtuvo autorización judicial para intervenir de forma remota en servidores infectados, routers domésticos y dispositivos de internet de las cosas dentro del país con el fin de desmantelar dos botnets controlados por Estados extranjeros. Es el primer caso públicamente confirmado en el que CSIS aplica sus facultades de reducción de amenazas (threat reduction warrant) para destruir de forma activa infraestructura maliciosa en dispositivos de terceros. La decisión afecta a propietarios de routers SOHO, dispositivos IoT y servidores en Canadá, y además sienta un precedente jurídico para operaciones de inteligencia dirigidas a desinfectar botnets en países democráticos.
Cronología y base jurídica de la operación
Según la resolución del Tribunal Federal publicada, la jueza Catherine Kane emitió la orden el 1 de mayo de 2024, la prorrogó en agosto de ese mismo año y el fundamento confidencial se formalizó en febrero de 2026. El documento permaneció bajo sello durante más de dos años hasta que se publicó la versión redactada en junio.
La orden otorgó a CSIS el derecho a modificar, degradar y destruir los datos de las botnets en las máquinas infectadas, así como a desconectar los dispositivos de las redes maliciosas. El tribunal determinó que la amenaza para la seguridad de Canadá estaba «claramente establecida e inminente» y que las medidas adoptadas eran necesarias, razonables y proporcionales.
Un punto clave: CSIS se vio obligada a solicitar autorización judicial porque la intervención remota en dispositivos ajenos y el borrado de datos se tipifican como daño informático en el Código Penal de Canadá. El tribunal subrayó que la operación se dirigía contra dispositivos y no contra personas: no se identificó a los usuarios, no se interceptó el contenido de las comunicaciones y cualquier dato personal recopilado de forma accidental debía ser destruido.
Dispositivos afectados y arquitectura técnica
Los objetivos de la operación fueron servidores ubicados en Canadá, routers para pequeñas oficinas y uso doméstico (SOHO), así como dispositivos IoT: timbres Ring, cámaras de videovigilancia, televisores y otros electrodomésticos conectados por Wi‑Fi.
Ambas botnets utilizaban una arquitectura de retransmisión multinivel estándar: el nivel de mando emitía las órdenes y la capa de dispositivos infectados redirigía el tráfico. Al enrutar los datos a través de equipos canadienses comprometidos, el Estado extranjero se camuflaba como una conexión doméstica normal o como un cliente de un proveedor de internet, mientras realizaba tareas de reconocimiento contra infraestructuras críticas y redes gubernamentales y militares. El propietario de un timbre infectado, por su parte, aparecía como responsable del tráfico que nunca había generado.
Contexto: comparación con las operaciones del FBI
La operación canadiense coincide cronológicamente con una serie de desmantelamientos judiciales de botnets en Estados Unidos. En diciembre de 2023, el FBI utilizó el canal de mando del botnet KV-botnet para eliminar malware de cientos de routers SOHO estadounidenses —principalmente modelos obsoletos de Cisco y NetGear— que, según se informa, la agrupación vinculada a China Volt Typhoon empleaba para ocultar su acceso a sistemas de comunicaciones, energía, suministro de agua y transporte. Unas semanas más tarde se llevó a cabo una operación similar contra una red de routers Ubiquiti, supuestamente convertidos en una red de retransmisión de espionaje por el grupo APT28, asociado con el GRU ruso.
La diferencia jurídica clave: las operaciones estadounidenses fueron llevadas a cabo por organismos de aplicación de la ley (el FBI y el Departamento de Justicia) en el marco de sus facultades de registro e incautación. La operación canadiense, en cambio, es una acción de un servicio de inteligencia que utiliza un mecanismo de reducción activa de amenazas, y no solo de recopilación de información. Estas facultades se establecieron en la Ley del CSIS y se reconfiguraron en la Ley de Seguridad Nacional de 2017, que entró en vigor en 2019. Hasta este caso, el CSIS nunca había ejercido estas facultades de este modo.
Atribución y cuestiones no resueltas
La resolución pública confirma la participación de dos adversarios estatales extranjeros, pero su identidad está completamente tachada del documento. La cronología y las técnicas coinciden con actividades atribuidas a China y Rusia, pero la decisión redactada no permite determinar si ambas botnets pertenecían a un mismo Estado o a distintos.
Queda abierta otra cuestión jurídica. Según fuentes secundarias, la solicitud del CSIS se basó en direcciones IP recopiladas sin orden judicial, y ello ocurrió poco después de que el Tribunal Supremo de Canadá, en el asunto R. v. Bykovets, dictaminara que una dirección IP está amparada por una expectativa razonable de privacidad. La compatibilidad de esta recopilación con las facultades del CSIS, así como si se notificó o no a los propietarios de los dispositivos desinfectados, no se han aclarado públicamente.
Recomendaciones prácticas
La limpieza realizada por el Estado elimina el malware, pero no corrige las vulnerabilidades que permitieron la infección. La experiencia de las operaciones estadounidenses ha demostrado que un reinicio o un restablecimiento a valores de fábrica puede deshacer la corrección y volver a exponer el dispositivo a una nueva infección. La responsabilidad de la protección recae en el propietario del equipo.
- Retirar de servicio los routers obsoletos para los que el fabricante ha dejado de publicar actualizaciones de firmware (en primer lugar los modelos de Cisco y NetGear que han quedado sin soporte).
- Actualizar el firmware de todos los routers SOHO y dispositivos IoT a la última versión disponible.
- Cambiar las credenciales por defecto en todos los dispositivos con interfaz de administración web.
- Cerrar el acceso externo a los paneles de gestión de routers y dispositivos IoT: la interfaz de administración no debe ser accesible desde internet.
- Segmentar la red: los dispositivos IoT (cámaras, timbres, televisores) deben ubicarse en un segmento VLAN separado, aislado de las estaciones de trabajo y los servidores.
- Supervisar el tráfico saliente en busca de conexiones anómalas hacia direcciones IP externas desconocidas, especialmente desde dispositivos que no deberían iniciar ese tipo de conexiones.
El precedente canadiense muestra que los servicios de inteligencia estatales empiezan a utilizar mecanismos de intervención activa para combatir las botnets, pero cada una de estas operaciones es una acción puntual, no una defensa sistémica. La única medida sostenible es sustituir el hardware que ya no recibe mantenimiento y cerrar las interfaces de administración expuestas a internet. Las organizaciones y los usuarios domésticos que operan routers SOHO y dispositivos IoT deberían auditar su equipamiento ahora, en lugar de esperar a que sus dispositivos pasen a formar parte de la próxima red de retransmisión de una inteligencia extranjera.
