Google y el FBI apuntan a una enorme botnet que utilizaba silenciosamente dispositivos domésticos para enmascarar el ciberdelito

El FBI, en asociación con Google y otras empresas de tecnología, asestó un duro golpe a NetNut, un servicio proxy de red residencial de acceso público que albergaba en secreto una botnet que controlaba aproximadamente 2 millones de televisores Android y dispositivos domésticos inteligentes similares. La red se estaba utilizando para la pulverización de contraseñas, ataques de credenciales y otras actividades maliciosas.

Las botnets proxy residenciales hacen que el tráfico malicioso parezca un uso normal de Internet, lo que permite que los ciberdelincuentes secuestren en secreto los dispositivos cotidianos para realizar actividades ilegales utilizando la Internet de su hogar. Los dispositivos domésticos infectados a menudo estaban precargados con software malicioso utilizado por la botnet, lo que hacía que las prácticas tradicionales de seguridad doméstica fueran menos efectivas para detectar y detener el problema.

Según una declaración del FBI enviada por correo electrónico a CNET, el 2 de julio, la agencia federal llevó a cabo «una incautación autorizada por el tribunal de múltiples dominios como parte de una acción policial coordinada con el Departamento de Justicia y la Investigación Criminal del IRS dirigida a la infraestructura asociada con la plataforma de proxy residencial NetNut, sus administradores y usuarios».

Las autoridades trabajaron en conjunto con Google, Lumen Technologies y la Fundación Shadowserver para perseguir a NetNut y sus servicios, también conocido como el botnet Popa por los investigadores de seguridad. Google dijo en una publicación de blog que las acciones «causaron una degradación significativa de la red proxy de NetNut y sus operaciones comerciales, reduciendo en millones el conjunto de dispositivos disponibles para el operador proxy». El sitio web de NetNut ahora muestra un aviso de eliminación del FBI.

Google reconoció que acabar con NetNut es sólo el primer paso. Debido a que estas redes proxy frecuentemente comparten y revenden el acceso a las botnets de los demás, interrumpir a un proveedor a menudo lleva a los actores maliciosos a simplemente comprar capacidad de un competidor. Para crear un impacto duradero, Google dijo que debe «apuntar a la infraestructura de varios proveedores interconectados» simultáneamente.

El sitio web oficial de NetNut ha sido eliminado y en su lugar se incluye este aviso de incautación.

El FBI

Cómo funcionó esta botnet

En 2024, los investigadores de seguridad de XLab encontraron la botnet Vo1d, una colección masiva de dispositivos Android TV pirateados, en su mayoría fuera de marca. Si recuerda el video falso de IA de Donald Trump y Elon Musk que aparecen en los televisores del Departamento de Vivienda y Desarrollo Urbano, lo más probable es que haya sido causado por un actor malicioso que utilizó la botnet Vo1d.

Esos mismos investigadores también encontraron Popa, un complemento de protocolo de red legítimo que convertía los dispositivos de los consumidores en nodos proxy residenciales con el consentimiento del usuario. Pero la versión que encontraron los investigadores se estaba instalando en los dispositivos Android TV pirateados sin el consentimiento del usuario. Según el FBI, un nodo proxy residencial es «un servidor intermediario entre los individuos y los sitios web que visitan para que sus conexiones parezcan originarse en otro lugar».

Las redes proxy residenciales son legales en los EE. UU., y las empresas que las utilizan generalmente venden acceso a clientes empresariales, donde a menudo se utilizan para pruebas de penetración de seguridad, verificación de anuncios, recopilación de datos de marketing y desbloqueo de sitios web bloqueados geográficamente. Dado que los nodos residenciales utilizan direcciones IP reales de la casa de alguien, la World Wide Web ve a la empresa o persona que utiliza el nodo como un usuario normal y su verdadera identidad está oculta.

Los dispositivos Android TV que formaban parte de la botnet Vo1d e infectados con Popa permitieron a los ciberdelincuentes realizar ataques, extraer datos de dispositivos infectados en busca de información confidencial como contraseñas e incluso secuestrar el dispositivo para realizar tareas maliciosas, todo mientras el hacker parecía originarse en la casa de enfrente o en el departamento de enfrente sin estar realmente allí.

Ahí es donde entra NetNut. NetNut es un operador de red proxy residencial de cara al público propiedad de Alarum Technologies, una empresa que cotiza en bolsa fuera de Israel. Según Google, era uno de los operadores de redes proxy residenciales más grandes del mundo.

A primera vista, NetNut parecía ser un negocio legítimo e incluso tenía un sitio web oficial donde se podían comprar sus servicios. Sin embargo, a finales del mes pasado, varios investigadores confirmaron que el tráfico generado por la botnet Popa procedía de usuarios de NetNut. Esto significaba que NetNut estaba efectivamente vendiendo su botnet abiertamente a cualquiera, tanto para usos legítimos como ilegítimos, lo que proporcionó a las autoridades pruebas suficientes para derribar a la empresa.

Manténgase a salvo del próximo ataque

La buena noticia es que asegurarse de no terminar como parte de la próxima botnet impulsada por Android TV es bastante fácil. Según Google y los investigadores de seguridad, la inmensa mayoría de los dispositivos pirateados eran transmisores de TV Android sin nombre que se pueden encontrar libremente en Amazon, Temu, AliExpress y otros puntos de venta en línea.

Muchos de esos dispositivos y cajas de transmisión son bastante baratos, pero funcionan. El problema es que casi todos ejecutan versiones antiguas de Android, que son más fáciles de piratear ya que esos dispositivos no tienen las protecciones modernas que ofrecen las versiones más nuevas.

Algunas marcas venden cajas de transmisión que prometen transmisión gratuita sin suscripciones. Estos suelen ser anunciados en Instagram y TikTok por personas influyentes nuevas que afirman ofrecer una solución de transmisión de TV sin suscripción. Los investigadores de seguridad descubrieron que muchas de esas cajas de transmisión venían prehackeadas con software de botnet instalado de fábrica.

Entonces, el primer paso para evitar formar parte de una botnet es comprar únicamente dispositivos Android TV de compañías acreditadas como Sony, Nvidia, Google y otras. Intente comprar uno que ejecute una versión moderna de Android y aún reciba actualizaciones de seguridad. También debes evitar esas casillas de «precio único, sin suscripciones» en las redes sociales, ya que definitivamente vienen con malware preinstalado.

Botnets como ésta no son exclusivas de Android TV. Los dispositivos domésticos inteligentes también se incluyen constantemente en las botnets, por lo que el segundo paso para mantenerse seguro es asegurarse de aplicar todos los consejos anteriores también a sus productos domésticos inteligentes. También debes mantenerte al día con las últimas tendencias, como el fastware, un nuevo tipo de malware que piratea tus dispositivos pidiéndole a la IA integrada que lo haga en nombre del hacker.

El incidente sirve como un recordatorio importante de que hay que tener cuidado con la tecnología barata y de baja calidad que venden personas influyentes, o corre el riesgo de que le roben su información de identificación personal. La variedad habitual de cosas también ayuda, como asegurarse de tener una contraseña segura, aprender a evitar correos electrónicos de phishing y no revelar ningún dato personal a personajes sospechosos en línea.


We use cookies in order to give you the best possible experience on our website. By continuing to use this site, you agree to our use of cookies.
Accept