Ciberseguridad

Tu celular o tu router pudo ser uno de los 17 millones de equipos alquilados en secreto

Tu celular o tu router pudo ser uno de los 17 millones de equipos alquilados en secreto
"Europol building, The Hague, the Netherlands - 915" by OSeveno is licensed under CC BY-SA 3.0. To view a copy of this license, visit creativecommons.org
Susan Hill
Por
4 min de lectura

Una botnet no siempre se delata poniendo lento el celular ni llenando la pantalla de ventanas emergentes. La red que la policía neerlandesa acaba de desactivar casi no hacía nada que su dueño pudiera notar. Tomaba prestada en silencio una parte de más de 17 millones de equipos —computadoras, celulares, tabletas, routers del hogar y dispositivos conectados— y alquilaba sus conexiones a terceros. Si uno de esos equipos era el tuyo, alguien a quien nunca vas a conocer pudo navegar, extraer datos o atacar sitios web a través de tu conexión de casa durante meses.

La Policía Nacional de Países Bajos y el Centro Nacional de Ciberseguridad del país terminaron con la operación después de incautar unos 200 servidores a un proveedor de alojamiento dentro del propio territorio neerlandés. Los investigadores describen la red como un servicio de proxy residencial: un sistema que enruta el tráfico de unos a través de equipos reales de otros para que parezca navegación doméstica común. Ese disfraz es justamente el producto. El tráfico que aparenta salir de una dirección doméstica auténtica evita los filtros antifraude que bloquearían de inmediato a un servidor de centro de datos conocido, y por eso los proxies residenciales son tan codiciados por anunciantes, rastreadores de datos y delincuentes.

La prensa neerlandesa vinculó la infraestructura con ASOCKS, una empresa con sede en Rusia que vende acceso comercial a proxies residenciales y móviles. A primera vista, ASOCKS parece un negocio de suscripción normal. El problema es de dónde salen sus conexiones residenciales. Los investigadores de seguridad advirtieron durante años que buena parte de los equipos que alimentan redes como esta nunca se registraron a conciencia, y que sus dueños no tenían idea de que su ancho de banda estaba a la venta.

GlassWorm vivió un año en extensiones de VS Code antes de que lo desmantelaran

Los equipos se reclutaron de varias formas, y casi todas se reducen a una confianza mal puesta en el software gratis. Algunas personas instalaron una app gratuita —un fondo de pantalla, una utilidad para el celular o una VPN no oficial— que cargaba en segundo plano un software proxy. En Android, una biblioteca de código llamada PROXYLIB, escondida dentro de un kit de desarrollo que los creadores de apps integraban en sus productos, dio de alta a los teléfonos como nodos proxy sin preguntar. Otras máquinas se infectaron con malware que instalaba directamente la misma capacidad. En todos los casos el equipo seguía funcionando con normalidad mientras su conexión trabajaba para otro.

Una vez dentro del grupo, la conexión de un dispositivo podía usarse para casi cualquier cosa que gane con parecer un usuario doméstico inocente. Las autoridades neerlandesas afirman que la red alimentó campañas de phishing, spam, ataques de denegación de servicio que tumban servicios en línea, intentos de acceso por fuerza bruta y relleno de credenciales, fraude de clics y esquemas de SMS premium que vacían dinero en silencio. Un solo router secuestrado casi no genera nada de eso por su cuenta. Diecisiete millones, juntos, se convierten en infraestructura seria.

El desmantelamiento es real, pero no es una cura. La policía se quedó con los servidores que coordinaban la red, pero el sitio de ASOCKS seguía accesible después, y no está claro cuánto del negocio de fondo quedó de verdad destruido. Apagar los servidores de mando no limpia de forma automática los 17 millones de equipos, porque el código proxy y el malware pueden quedarse intactos en un teléfono o un router hasta que un nuevo operador los retome. Además, el abuso de proxies residenciales es un mercado, no una sola empresa. Cierras una red y la demanda migra a la siguiente, porque el apetito legítimo por direcciones reales —desde firmas de verificación publicitaria hasta empresas de IA que rastrean la web— mantiene rentable el modelo.

Para dimensionar la escala, 17 millones de equipos ubican a esta entre las redes proxy más grandes desconectadas hasta ahora, muy por encima de muchas botnets de malware que llegan a los titulares por difundir un solo virus. Pero, a diferencia de un ataque de ransomware, casi nunca hay un síntoma evidente. Las pistas suelen ser comunes: un router que se calienta o se reinicia sin motivo, un plan de internet de casa que choca una y otra vez con su límite de datos, un celular cuyo gasto de batería y datos no cuadra con el uso real, o que los sitios web te pidan resolver captchas una y otra vez porque tu dirección les parece sospechosa.

Como los equipos infectados estaban repartidos por todo el mundo y no concentrados en un solo país, el riesgo no es regional. Cualquiera con un router viejo o un celular Android barato cargado de utilidades gratis pudo quedar atrapado. Las defensas prácticas son poco vistosas y de sobra conocidas: mantené actualizados routers y teléfonos, borrá las apps gratis que no uses, evitá el software bajado fuera de las tiendas oficiales y las VPN no oficiales que prometen algo a cambio de nada, y reiniciá el router que lleva años funcionando sin que nadie lo toque.

El caso empezó cuando un investigador de seguridad alertó al Centro Nacional de Ciberseguridad sobre una actividad proxy sospechosa, y las autoridades neerlandesas señalaron que el análisis de los servidores incautados sigue en curso, sin detenciones anunciadas hasta ahora. Lo que deja en claro es que la economía de los dispositivos ya incluye un mercado negro de tu ancho de banda. La próxima vez que una app sea gratis, el producto a la venta puede ser la conexión a internet que ya estás pagando.

More Like This

Los 340 millones de OnlyFans a la venta se armaron con filtraciones viejas

Los 340 millones de OnlyFans a la venta se armaron con filtraciones viejas

Bloomberg ubica a Alibaba en la red de chips Nvidia de US$2.500 millones que pasaba por Tailandia

Bloomberg ubica a Alibaba en la red de chips Nvidia de US$2.500 millones que pasaba por Tailandia

Un escaneo a 380.000 apps hechas con IA encontró miles sin ningún tipo de protección

Un escaneo a 380.000 apps hechas con IA encontró miles sin ningún tipo de protección

Una falla de inicio de sesión dejó 70 millones de webs de cPanel abiertas para cualquiera

Una falla de inicio de sesión dejó 70 millones de webs de cPanel abiertas para cualquiera

Así se cuela el código malicioso en el software que ya usas

Así se cuela el código malicioso en el software que ya usas

Una extensión envenenada de VS Code robó 3.800 repositorios internos de GitHub

Una extensión envenenada de VS Code robó 3.800 repositorios internos de GitHub

Discussion

There are 0 comments.