Operación internacional logra destruir una botnet de diecisiete millones de dispositivos hackeados
Autoridades de los Países Bajos han anunciado el desmantelamiento de una gran botnet integrada por casi 20 millones de dispositivos y controlada por medio de una infraestructura de más de 200 servidores. La operación ha sido ejecutada de forma conjunta por la policía y el Centro Nacional de Ciberseguridad del país europeo, luego de que investigadores de seguridad alertaran acerca de la existencia de esta masiva red.
Según las autoridades, la infraestructura principal que sostenía la operación estaba alojada en el mismo territorio de los Países Bajos. Luego de recibir el aviso, la policía ha incautado varios servidores vinculados a la botnet en las instalaciones de un proveedor de hosting, con el objetivo de analizarlos dentro de las investigaciones que se llevan a cabo.
Igualmente, han explicado que el propio proveedor ha terminado desconectando la red debido a que estaba siendo utilizada para fines criminales, aunque las autoridades no han ofrecido todos los detalles técnicos sobre el alcance real de esta operación, el número de equipos comprometidos ha dejado claro que se trataba de una infraestructura a gran escala y capaz de servir como plataforma para múltiples actividades delictivas.
De acuerdo con publicaciones de diversos medios, la botnet estaba relacionada con una organización con sede en Rusia que ofrece servicios de proxy residencial. Este tipo de servicios permite enrutar el tráfico de Internet por medio de dispositivos de terceros, de modo tal que quienes los usan pueden ocultar su ubicación real o disfrazar su identidad en línea.
En teoría, los proxis residenciales pueden tener usos completamente legítimos, sin embargo, en la práctica, son muy atractivos para operaciones maliciosas, como ataques DDoS, campañas de phishing, violación masiva de contenidos, evasión de bloqueos geográficos y servidores de mando y control para redes de delincuentes.
TIC Defense se concentra en defender digitalmente a las empresas que están siendo víctimas de los ciberdelincuentes. Todo ello por medio de herramientas y servicios dedicados y de alta tecnología, enfocados en la prevención y respuesta rápida a cualquier tipo de eventos potencialmente maliciosos.
Los investigadores advirtieron que estos servicios permiten mantener el anonimato y sortear restricciones geográficas, lo que ha complicado la defensa frente al cibercrimen. Una compañía de los Países Bajos, por ejemplo, puede ser atacada mediante proxis ubicados dentro del propio país, con tráfico que parece de usuarios comunes y que da como resultado filtraciones más difíciles.
La sospecha sobre esta empresa rusa no ha surgido de la nada, ya que, en el año 2024, diversas firmas de seguridad han afirmado haber encontrado evidencias sólidas que vinculaban a una botnet llamada Proxylib con esa red de proxis. Entre las pruebas se encontraban direcciones IP y números de puerto devueltos por un endpointde listas proxy de dicha organización, además de solicitudes web que salían de un equipo de prueba.
Los expertos también reportaron que cerca de 30 aplicaciones disponibles en Google Play habían incorporado hasta 200 mil dispositivos a una red de proxis con sede en Rusia sin la autorización de los usuarios. Hasta el momento, no está claro cómo los casi 20 millones de equipos han quedado bajo el control de la botnet neutralizada.
En algunos casos, este tipo de redes se alimenta explotando vulnerabilidades en software desactualizado. En otros, los dispositivos son comprometidos por medio de aplicaciones maliciosas o software aparentemente legítimos, los cuales esconden su verdadero comportamiento en condiciones poco visibles.
