Autoridades de Estados Unidos, Alemania y Canadá han ejecutado una operación coordinada de gran escala contra cuatro de los botnets IoT más potentes de los últimos años: Aisuru, Kimwolf, JackSkid y Mossad. La actuación se ha centrado en desactivar su infraestructura de mando y control, utilizada para lanzar ataques DDoS masivos contra objetivos de todo el mundo, incluidas redes críticas del Departamento de Defensa de EE. UU. (DoDIN).
Operación internacional y papel del sector privado en la lucha contra botnets IoT
La operación, liderada por el Departamento de Justicia de Estados Unidos, se ha apoyado en una estrecha cooperación internacional y en la participación activa del sector privado. Empresas como Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Google, Lumen, Nokia, Okta, Oracle, PayPal, SpyCloud y otros proveedores clave de infraestructura en la nube y servicios de red aportaron inteligencia técnica y capacidades de mitigación.
Según datos oficiales, la familia de botnets Aisuru, Kimwolf, JackSkid y Mossad llegó a comprometer más de 3 millones de dispositivos IoT y equipos afines a escala global, desde cámaras IP y grabadores de vídeo hasta routers Wi‑Fi domésticos. Cientos de miles de estos nodos estaban ubicados en redes de Estados Unidos, incrementando el riesgo para proveedores locales, administraciones públicas y empresas privadas.
Infraestructura de mando y récords de ataques DDoS a gran escala
Durante la operación se incautaron servidores virtuales, dominios y otros recursos empleados como servidores de mando y control (C2). Estos elementos permitían a los operadores coordinar campañas de denegación de servicio distribuida, emitiendo órdenes de ataque hacia objetivos gubernamentales, proveedores de servicios de Internet y plataformas comerciales.
La documentación judicial revela la magnitud de la actividad: el botnet Aisuru habría ejecutado más de 200 000 comandos DDoS, JackSkid más de 90 000, Kimwolf más de 25 000 y Mossad más de un millar. Aisuru destaca además por alcanzar récords históricos en capacidad DDoS: en diciembre de 2025 llevó a cabo un ataque de aproximadamente 31,4 Tbit/s y 200 millones de solicitudes por segundo contra compañías del sector telecomunicaciones, superando su propio récord previo de 29,7 Tbit/s.
Kimwolf: la evolución de los botnets IoT hacia el ecosistema Android
Entre los botnets desmantelados, Kimwolf representa un hito en la evolución de las amenazas IoT y Android. Investigaciones publicadas en 2025 describen cómo Kimwolf infectó millones de dispositivos basados en Android, principalmente smart TV económicos y decodificadores, convirtiéndose en una especie de “versión Android” de Aisuru y redefiniendo las estrategias de escalado de botnets.
Uso de redes proxy residenciales para evadir defensas DDoS
A diferencia de botnets clásicos como Mirai, que basaban su propagación en el escaneo masivo de Internet en busca de dispositivos vulnerables, Kimwolf se apoyó de forma intensiva en redes de proxy residenciales. Aprovechando dispositivos ya comprometidos, el malware penetraba en redes domésticas internas y utilizaba esos equipos como punto de salida del tráfico malicioso.
Esta técnica convertía los ataques DDoS en tráfico aparentemente legítimo, originado desde IP residenciales reales y no desde rangos típicamente asociados a centros de datos, dificultando de forma notable la detección y el filtrado por parte de proveedores y soluciones de mitigación.
Null-routing y explotación de Android Debug Bridge (ADB)
Según especialistas de Lumen Black Lotus Labs, la operación incluyó el envío a null-route de casi un millar de servidores de mando de Aisuru y Kimwolf. El null-routing —redirigir el tráfico a una “black hole” o agujero negro— permite aislar nodos maliciosos sin afectar a servicios legítimos, y se ha convertido en una técnica esencial en la defensa frente a botnets a gran escala.
Los investigadores también señalan que, en las dos primeras semanas de marzo de 2026, JackSkid llegó a infectar más de 150 000 dispositivos al día y Mossad superó los 100 000 dispositivos diarios. Ambos botnets aprovecharon, igual que Kimwolf, debilidades en proveedores de proxy residencial y explotaron dispositivos con el Android Debug Bridge (ADB) expuesto a Internet. Un ADB abierto ofrece a los atacantes control remoto casi total sobre el dispositivo, lo que facilita su incorporación silenciosa a un botnet IoT.
Cibercrimen como servicio: monetización de los botnets IoT
Los operadores de Aisuru, Kimwolf, JackSkid y Mossad habrían utilizado un modelo de “cibercrimen como servicio” (cybercrime-as-a-service), alquilando su infraestructura para lanzar ataques DDoS y ofreciendo servicios adicionales a otros grupos criminales, ya sea mediante suscripción o por campañas puntuales.
En algunos casos, esta capacidad se habría utilizado con fines de extorsión, amenazando a las víctimas con ataques prolongados o repetitivos si no se realizaban pagos. Este modelo reduce la barrera de entrada al delito digital, permitiendo que actores con baja cualificación técnica contraten ataques complejos y de alto impacto.
Informaciones de investigación periodística apuntan a posibles sospechosos, entre ellos un joven de 23 años de Ottawa y un adolescente alemán, presuntamente vinculados a Kimwolf bajo seudónimos concretos. Sin embargo, las autoridades no han anunciado detenciones ni imputaciones formales relacionadas directamente con esta operación, por lo que dichas identidades siguen siendo hipótesis no confirmadas.
Impacto en la infraestructura crítica y recomendaciones de seguridad IoT
Expertos de Akamai y otros proveedores de mitigación DDoS advierten de que campañas de la magnitud atribuida a estos botnets pueden degradar la calidad de servicio de grandes operadores, afectar a infraestructuras críticas y tensionar incluso plataformas especializadas de protección en la nube. La masificación de dispositivos IoT inseguros convierte cada cámara, router o televisor conectado mal configurado en un micro-nodo potencial de una red de ataque global.
El desmantelamiento de la infraestructura de Aisuru, Kimwolf, JackSkid y Mossad supone un avance relevante, pero no elimina el problema de fondo. Es esencial que los fabricantes de dispositivos IoT desactiven por defecto servicios inseguros como ADB expuesto, apliquen configuraciones seguras de fábrica e implementen actualizaciones automáticas de firmware.
Para las organizaciones, resulta crítico desplegar una estrategia de defensa en profundidad frente a DDoS: soluciones de mitigación en la nube y on‑premise, segmentación de redes, monitorización continua de tráfico y estrecha colaboración con proveedores de servicios de Internet y empresas especializadas en ciberseguridad.
En el ámbito doméstico y de pequeñas empresas, las medidas básicas siguen siendo decisivas: cambiar las contraseñas por defecto de routers y cámaras, actualizar con regularidad el firmware, desactivar accesos remotos y interfaces de depuración no utilizados, y revisar qué dispositivos están realmente expuestos a Internet. Cada equipo correctamente protegido es un nodo menos disponible para la próxima generación de botnets IoT.
La operación contra Aisuru, Kimwolf, JackSkid y Mossad demuestra que la cooperación internacional y la alianza con el sector privado pueden frenar incluso a los botnets más potentes. Sin embargo, la verdadera resiliencia frente a ataques DDoS masivos solo se logrará si fabricantes, organizaciones y usuarios finales asumen la seguridad IoT como una responsabilidad compartida y permanente, fortaleciendo su higiene digital antes de convertirse, sin saberlo, en parte de la próxima ola de ciberataques.
