El Departamento de Justicia de Estados Unidos ha anunciado una amplia operación para desmantelar la infraestructura de mando y control (C2) de varios botnets de Internet de las Cosas (IoT) —AISURU, Kimwolf, JackSkid y Mossad— utilizados para lanzar ataques DDoS hipervolumétricos contra organizaciones de todo el mundo. Estas redes de bots llegaron a controlar millones de dispositivos vulnerables y marcaron nuevos máximos históricos en la potencia de ataque.
Operación internacional contra botnets IoT y papel clave del sector privado
La actuación se ha llevado a cabo en base a órdenes judiciales estadounidenses y en estrecha coordinación con las fuerzas y cuerpos de seguridad de Canadá y Alemania. Paralelamente, los presuntos operadores de estos botnets se han convertido en objetivo de investigaciones penales en esos países, lo que refuerza el componente internacional de la respuesta.
En la operación han participado actores fundamentales de la infraestructura global de Internet, entre ellos Akamai, Amazon Web Services (AWS), Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud, Team Cymru y QiAnXin XLab, entre otros. El análisis de su telemetría y de los flujos de tráfico permitió localizar servidores de comando, dominios y nodos críticos, y ejecutar acciones técnicas para neutralizar la infraestructura C2 de los botnets.
Ataques DDoS masivos: hasta 31,4 Tbps y miles de millones de paquetes por segundo
Según el Departamento de Justicia, los cuatro botnets participaron en ataques DDoS de más de 30 Tbps, un volumen de tráfico sin precedentes que multiplica por varias veces los mayores incidentes reportados hace solo unos años en la industria.
Cloudflare detalló que el botnet AISURU/Kimwolf lanzó en noviembre de 2025 un ataque que alcanzó los 31,4 Tbps. Aunque solo duró unos 35 segundos, el pico de tráfico fue suficiente para poner a prueba la resiliencia de infraestructuras de red y plataformas de mitigación DDoS de gran escala.
Durante el mismo periodo se observaron campañas DDoS hipervolumétricas que llegaron a los 3.000 millones de paquetes por segundo (Bpps), alrededor de 4 Tbps en volumen de tráfico sostenido y en torno a 54 millones de peticiones HTTP por segundo (Mrps). Akamai informó en paralelo de ataques agregados superiores a 30 Tbps, 14.000 millones de paquetes por segundo y más de 300 millones de solicitudes por segundo, en algunos casos utilizados como herramienta de extorsión a empresas: se exigían pagos para detener las campañas DDoS.
Kimwolf, AISURU y la evolución de Mirai hacia las redes domésticas
Los investigadores consideran que AISURU, Kimwolf, JackSkid y Mossad son variantes avanzadas de Mirai, el código malicioso aparecido en 2016 que inauguró la era de los grandes botnets IoT. En este caso se estima que se comprometieron al menos 3 millones de dispositivos IoT repartidos por todo el mundo, con cientos de miles ubicados en Estados Unidos.
Mientras los botnets Mirai tradicionales se limitan a escanear Internet en busca de dispositivos expuestos (cámaras IP, DVR, routers, etc.), Kimwolf introdujo un modelo más sofisticado al aprovechar de forma intensiva las redes de residential proxy. Este tipo de infraestructura enruta el tráfico a través de dispositivos conectados en hogares y oficinas, enmascarando el origen real de las comunicaciones maliciosas.
Tal como explicó la investigación liderada desde AWS, los operadores de Kimwolf consiguieron penetrar en redes domésticas a través de dispositivos IoT ya comprometidos, incluyendo televisores inteligentes y decodificadores Android TV. Al hacerlo, sortearon la protección proporcionada por el NAT y los cortafuegos de los routers domésticos, accediendo a segmentos internos normalmente invisibles para el escaneo directo desde Internet.
Infección masiva de Android y modelo “botnet-as-a-service”
Uno de los botnets asociados a esta operación llegó a integrar más de 2 millones de dispositivos Android, con un peso significativo de TV Box económicas o de marcas poco conocidas, a menudo distribuidas con software desactualizado o plagado de vulnerabilidades. También se vieron implicados grabadores de vídeo digital, cámaras IP y routers Wi‑Fi inseguros.
De acuerdo con el Departamento de Justicia, los grupos vinculados a Kimwolf y JackSkid se centraron en dispositivos que los usuarios consideran “protegidos” por el cortafuegos del router. Una vez infectados, estos equipos pasaban a formar parte de una infraestructura de “cybercrime-as-a-service”, en la que se ofrecía a terceros delincuentes el alquiler de capacidad DDoS bajo el modelo botnet-as-a-service, facilitando ataques a gran escala sin necesidad de tener conocimientos técnicos avanzados.
Identificación de los operadores y foco jurídico en la infraestructura
Investigaciones abiertas, entre ellas las del periodista especializado Brian Krebs, han vinculado el presunto administrador de Kimwolf con un joven de 23 años de Ottawa (Canadá), que niega cualquier implicación y alega suplantación de identidad tras el compromiso de cuentas antiguas. También se baraja la participación de un adolescente de 15 años en Alemania. Las autoridades, sin embargo, no han hecho públicos por ahora detalles sobre detenciones formales.
En esta fase, la estrategia legal se ha centrado en la neutralización técnica: bloqueo de dominios, cierre de servidores de comando y reconfiguración de rutas de tráfico para inutilizar los botnets. Este enfoque es habitual en operaciones contra redes de bots, dado que la atribución sólida y el procesamiento penal de los operadores suele requerir plazos mucho más largos que el desmantelamiento de la infraestructura.
Impacto para empresas y usuarios domésticos: cómo reducir el riesgo
Los ataques DDoS de decenas de terabits por segundo tienen capacidad para degradar seriamente la conectividad de proveedores de servicios de Internet, afectar a clientes empresariales y, en escenarios extremos, saturar incluso grandes plataformas de mitigación en la nube. Para las organizaciones, esto se traduce en interrupciones de servicio, pérdidas económicas directas y daño reputacional.
En el ámbito doméstico, el principal peligro es la incorporación silenciosa de dispositivos IoT a un botnet. Televisores inteligentes, TV Box con Android, cámaras, routers con contraseñas por defecto, firmware sin actualizar o software no oficial pueden convertirse en nodos delincuenciales sin que el usuario lo perciba, aumentando la superficie de ataque de la red doméstica y consumiendo ancho de banda.
Para minimizar estos riesgos, se recomienda a los usuarios finales cambiar las credenciales de fábrica, aplicar actualizaciones de firmware en cuanto estén disponibles, desactivar servicios remotos innecesarios, segmentar la red Wi‑Fi (separando dispositivos IoT de ordenadores y móviles) y priorizar equipos de fabricantes que mantengan políticas claras de actualizaciones de seguridad.
En el caso de empresas y entidades públicas, es esencial desplegar servicios especializados de protección DDoS, supervisar continuamente el tráfico en busca de anomalías, coordinarse con proveedores de conectividad y nube capaces de absorber ataques de escala terabit y realizar simulacros periódicos de respuesta ante incidentes. La operación contra Kimwolf y AISURU demuestra que la amenaza de los botnets IoT no solo persiste, sino que evoluciona hacia campañas más potentes y complejas. Revisar hoy la seguridad de la infraestructura —incluidos todos los dispositivos conectados— es la mejor inversión para evitar convertirse mañana en víctima o, sin saberlo, en parte del problema.
