Las autoridades neerlandesas desmantelan una botnet vinculada a más de 17 millones de dispositivos

Una gran botnet vinculada a proxies residenciales queda fuera de línea en Países Bajos

Las autoridades de Países Bajos dicen haber desmantelado una botnet compuesta por más de 17 millones de dispositivos y gestionada por 200 servidores, lo que la convierte en una de las operaciones de desmantelamiento de infraestructura más llamativas informadas este año. La operación implicó a la policía neerlandesa, al Centro Nacional de Ciberseguridad y a un proveedor de alojamiento que desconectó la red después de que los investigadores concluyeran que se estaba usando con fines delictivos.

La escala por sí sola hace que la acción sea notable. Una botnet de este tamaño puede ofrecer una base poderosa para la ciberdelincuencia, ya sea mediante el enrutamiento anónimo del tráfico, operaciones de denegación de servicio, apoyo al phishing o el abuso masivo de servicios en línea. En este caso, la información vinculó la red con actividad de proxies residenciales, un sector que puede difuminar la línea entre el tráfico de consumo aparentemente normal y las operaciones maliciosas.

Por qué el abuso de proxies residenciales es tan difícil de frenar

Los servicios de proxy residencial enrutan el tráfico de Internet a través de dispositivos de terceros, haciendo que ese tráfico parezca provenir de conexiones domésticas o móviles comunes. Eso dificulta la detección frente a la infraestructura de centros de datos, porque el tráfico puede parecer comportamiento normal de usuario en lugar de actividad claramente automatizada.

Las autoridades y los investigadores de seguridad llevan años advirtiendo que los proxies residenciales pueden usarse tanto con fines legítimos como abusivos. Los casos más preocupantes implican dispositivos incorporados sin un consentimiento significativo del usuario o mediante compromiso, creando un conjunto de puntos finales que pueden ocultar el cibercrimen detrás de direcciones IP de apariencia confiable.

Parece que esa es parte de la preocupación en el caso neerlandés. El Centro Nacional de Ciberseguridad advirtió por separado que los proxies residenciales pueden dificultar mucho más la mitigación, porque los ataques pueden lanzarse mediante patrones de tráfico que parecen locales y son difíciles de distinguir del uso normal.

Cómo se desarrolló el desmantelamiento

Según el texto fuente proporcionado, la acción comenzó después de que un investigador de seguridad informara de la red a las autoridades. La policía incautó entonces servidores de la botnet en un proveedor de alojamiento para investigarlos, y el proveedor desconectó la botnet. Esa secuencia pone de relieve cómo la aplicación moderna de la ley cibernética depende cada vez más de la cooperación entre investigadores independientes, organismos estatales y empresas de infraestructura.

La infraestructura de alojamiento estaba ubicada en Países Bajos, lo que dio a las autoridades locales una palanca operativa concreta. En muchos casos globales de botnets, las fuerzas del orden pueden entender la amenaza pero carecer de jurisdicción sobre la infraestructura de mando. Aquí, al menos parte de la capa crítica de control de la red era lo bastante accesible como para interrumpirla directamente.

Vínculos con un ecosistema de proxies más amplio

La información citada en el material fuente vinculó la botnet con ASOCKS, una empresa con sede en Rusia conocida por servicios de proxy residencial, aunque Ars Technica señaló que no pudo confirmar de forma independiente ese vínculo. Esa distinción importa. El enlace operativo puede ser plausible y coherente con investigaciones de seguridad previas, pero sigue presentándose en la cobertura como una conexión reportada, no como un hecho verificado de manera independiente.

Lo que sí está más claro es el patrón más amplio. En 2024, la firma de seguridad Human vinculó una botnet llamada Proxylib con la misma red de proxies y dijo que aplicaciones móviles en Google Play habían incorporado hasta 190.000 dispositivos sin aprobación del usuario. Ese historial sugiere un problema recurrente en el que la infraestructura de proxy puede extraer capacidad de vastos grupos de dispositivos cuyos propietarios quizá no entienden del todo para qué se están usando sus sistemas.

Por qué importa ahora

Más allá de la cifra principal, el desmantelamiento recuerda que la infraestructura del cibercrimen está profundamente integrada en la conectividad cotidiana. Una botnet que abarca millones de dispositivos ya no es solo una cuestión de servidores infectados en centros de datos poco visibles. Puede involucrar teléfonos de consumidores, conexiones domésticas y ecosistemas de software que, en la superficie, parecen normales.

Para los defensores, eso significa que la monitorización tiene que tener en cuenta el tráfico de apariencia confiable. Para las tiendas de aplicaciones y las plataformas de software, refuerza la necesidad de examinar aplicaciones que podrían reclutar silenciosamente dispositivos para actividades de proxy o botnet. Y para los responsables de políticas, muestra por qué el abuso de proxies residenciales se está convirtiendo en una cuestión estratégica mayor de ciberseguridad, y no en un problema técnico de nicho.

• Las autoridades neerlandesas dicen haber desmantelado una botnet con más de 17 millones de dispositivos y 200 servidores.
• La red estaría vinculada a actividad de proxies residenciales, que puede ocultar el cibercrimen detrás de tráfico de aspecto normal.
• La operación dependió de la cooperación entre investigadores, la policía, el NCSC y un proveedor de alojamiento.

Este artículo se basa en una cobertura de Ars Technica. Leer el artículo original.