Google continúa desmantelando redes proxy residenciales maliciosas

En coordinación con el FBI, Lumen y otras organizaciones, Google anunció que empezó a tomar medidas contra la red de proxies residenciales NetNut, también conocida como Popa. Esta acción se suma a la interrupción de la red de proxies IPIDEA que tuvo lugar en enero de 2026 y representa una continuación del objetivo de Google de desmantelar redes de proxies residenciales maliciosas.

Medidas adoptadas

Como parte de esta interrupción, tomaron las siguientes medidas:

  1. Se deshabilitaron las cuentas de Google y los servicios de Google asociados que NetNut utilizaba para el comando y control (C2) del malware, lo que viola directamente los Términos de servicio y la Política de uso aceptable de Google. 
  2. Compartir información técnica sobre los kits de desarrollo de software (SDK) de NetNut y la infraestructura de comando y control (C2) de backend con proveedores de plataformas, fuerzas del orden y empresas de investigación para ayudar a impulsar la concienciación y la aplicación de la ley en todo el ecosistema.
  3. Nos aseguramos de que Google Play Protect , la protección de seguridad integrada de Android, alertara automáticamente a los usuarios y deshabilitara las aplicaciones que incorporan SDK de NetNut. El sistema seguirá protegiendo a los usuarios contra futuros intentos de instalación. Estos esfuerzos para mantener seguro el ecosistema digital en general complementan las medidas de protección que tenemos para salvaguardar a los usuarios de Android en dispositivos certificados.

«Creemos que nuestras acciones coordinadas han provocado una degradación significativa de la red de proxies de NetNut y sus operaciones comerciales, reduciendo en millones el número de dispositivos disponibles para el operador . Además de vender acceso a la red bajo la marca NetNut, esta cuenta con un sólido programa de revendedores que permite la personalización de su red. Google confía plenamente en que muchas marcas populares de proxies residenciales están, de hecho, personalizando la botnet de NetNut. Si bien prevemos que esta interrupción tendrá un mayor impacto en todo el ecosistema de proxies residenciales, las observaciones posteriores a la interrupción de IPIDEA demostraron que las redes individuales pueden mostrar resiliencia. Hemos observado que, ante la degradación de su propia botnet, los operadores de proxies comienzan a comprar capacidad a sus competidores, convirtiéndose así en revendedores. Reconocemos que generar una interrupción duradera en este ecosistema dinámico implica que debemos ampliar nuestros esfuerzos para atacar la infraestructura de varios proveedores interconectados. Continuaremos observando la composición de la red de NetNut y analizando cómo sus pares se adaptan a esta acción» afirman desde Google.

Por qué es importante

NetNut es una de las redes de proxy residenciales más grandes y populares. Estimar el tamaño de estas redes es extremadamente difícil, pero el Grupo de Inteligencia de Amenazas de Google (GTIG) calcula que la red de NetNut cuenta con al menos 2 millones de dispositivos distribuidos por todo el mundo. Informes públicos de KrebsOnSecurity y otros, confirmados por Google, demuestran que NetNut alimenta su botnet distribuyendo SDK para dispositivos comunes en los hogares, como televisores inteligentes y reproductores multimedia. GTIG también ha identificado componentes de complementos de la botnet NetNut para botnets a gran escala como Badbox 2.0.

Las redes proxy residenciales venden la capacidad de enrutar el tráfico a través de direcciones IP propiedad de proveedores de servicios de internet (ISP), lo que permite a los atacantes ocultar actividades maliciosas secuestrando estas direcciones IP. Una red proxy residencial robusta requiere controlar millones de direcciones IP residenciales para venderlas a los clientes. Para lograrlo, los operadores necesitan código que se ejecute en los dispositivos domésticos para registrarlos en la red maliciosa como nodos de salida. Los dispositivos domésticos se integran a las redes proxy bien porque vienen con malware preinstalado antes de la compra o bien porque los usuarios descargan sin saberlo aplicaciones que contienen código proxy oculto. Esto genera graves riesgos para los propietarios de dispositivos desprevenidos, ya que sus direcciones IP domésticas pueden ser utilizadas por los atacantes como plataforma de lanzamiento para el hackeo y otras actividades no autorizadas. En consecuencia, el tráfico legítimo de los usuarios puede ser marcado como sospechoso o bloqueado por sus proveedores de servicios.

En una sola semana de junio de 2026, GTIG observó 316 grupos de amenazas distintos que utilizaban nodos de salida NetNut sospechosos, incluyendo grupos de ciberdelincuentes y espionaje. Estos ciberdelincuentes pueden usar NetNut para enmascarar su dirección IP de origen al acceder a los entornos de las víctimas, acceder a su propia infraestructura y realizar ataques de fuerza bruta contra contraseñas. Además, cuando un dispositivo de consumo se convierte en un nodo de salida, el tráfico de red no autorizado pasa a través de él. Esto significa que los ciberdelincuentes pueden acceder a otros dispositivos privados en la misma red doméstica, exponiéndolos así a amenazas de Internet. Informes públicos de Synthient , Spur , Nokia Deepfield y otros han documentado el uso de NetNut para infectar dispositivos con variantes de las botnets DDoS Mirai.

Empoderar y proteger a los consumidores

Los consumidores deben tener mucho cuidado con las aplicaciones que ofrecen pagos a cambio de «ancho de banda no utilizado» o «compartir internet». Estas aplicaciones son una vía principal para el crecimiento de redes proxy maliciosas y podrían generar vulnerabilidades de seguridad en la red doméstica del dispositivo. Recomendamos a los usuarios que utilicen únicamente tiendas de aplicaciones oficiales, revisen los permisos de las VPN y proxies de terceros y se aseguren de que las protecciones de seguridad integradas, como Google Play Protect, estén activadas.

Los consumidores deben tener cuidado al comprar dispositivos conectados, como decodificadores, para asegurarse de que sean de fabricantes de confianza. Por ejemplo, para ayudarle a confirmar si un dispositivo cuenta con el sistema operativo oficial Android TV y la certificación Play Protect, nuestro sitio web de Android TV ofrece la lista más actualizada de socios. También puede seguir estos pasos para comprobar si su dispositivo Android cuenta con la certificación Play Protect.

Trabajo futuro

«Como señalamos a principios de este año, el sector de los proxies residenciales parece estar expandiéndose rápidamente, y esta interrupción coordinada no supone el fin de nuestra labor para combatir las redes de proxies residenciales maliciosas. Este sector está profundamente interconectado y los operadores dependen de redes de botnets superpuestas que se revenden constantemente. Si bien las interrupciones puntuales son una herramienta fundamental para proteger a nuestros usuarios, se necesita un esfuerzo continuo y coordinado para reducir las redes de proxies maliciosas a largo plazo. Animamos a las plataformas móviles, los proveedores de servicios de internet y otras plataformas tecnológicas a que sigan compartiendo información y tomen medidas directas para bloquear la infraestructura de comando y control maliciosa» comenta Google.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.