El FBI, el IRS y Google desmantelan la botnet de proxies residenciales NetNut

04.07.2026 1
El FBI, el IRS y Google desmantelan la botnet de proxies residenciales NetNut

El FBI, la división de Investigación Criminal del IRS y Google han desmantelado NetNut, una red de proxies residenciales construida sobre la botnet Popa: una colección de al menos dos millones de televisores inteligentes, decodificadores y enrutadores secuestrados que retransmitieron silenciosamente el tráfico de internet de otras personas durante años sin el conocimiento de sus dueños. El desmantelamiento, anunciado el 2 de julio de 2026, se produjo tras semanas de investigación que vinculaban a NetNut con malware distribuido a través de firmware preinstalado y kits de desarrollo de software integrados en dispositivos de consumo de bajo costo.

Qué era la botnet de proxies residenciales NetNut

NetNut era operada por Alarum Technologies, una empresa israelí que cotiza en bolsa (NASDAQ: ALAR), y se comercializaba como un servicio comercial de "proxy residencial", permitiendo a los clientes de pago enrutar el tráfico web a través de millones de direcciones IP domésticas reales en lugar de servidores de centros de datos, que son fácilmente bloqueados. Investigadores de seguridad de Google, Lumen, Shadowserver, Synthient y Spur descubrieron que una gran parte de ese grupo de IP provenía de la botnet Popa: dispositivos infectados sin consentimiento y convertidos silenciosamente en nodos de salida para cualquiera dispuesto a pagar por el acceso.

Cómo fueron secuestrados dos millones de dispositivos

Los investigadores rastrearon dos vías de infección distintas. Algunos decodificadores de televisión inteligente de bajo costo salían de fábrica con código proxy ya integrado en el firmware. Otros adquirían la misma capacidad a través de aplicaciones gratuitas para móviles y televisores que incluían un kit de desarrollo de software oculto, encontrado por el análisis de Google en aproximadamente el 42 por ciento de las aplicaciones escaneadas de LG webOS y en más de una cuarta parte de las aplicaciones de Samsung Tizen en diferentes momentos. Una vez instalado, el código convertía un televisor o enrutador común en un retransmisor silencioso para el tráfico de otra persona, sin que el propietario del dispositivo viera nada inusual en la pantalla.

Una herramienta favorita para hackers y espías

Google afirma que rastreó 316 grupos de amenazas distintos que utilizaban presuntos nodos de salida de NetNut en una sola semana en junio de 2026, abarcando tanto a grupos cibercriminales como a operaciones de espionaje vinculadas a estados. El ataque de fuerza bruta o "password spraying" fue el caso de uso más común: los atacantes distribuían los intentos de inicio de sesión a través de miles de direcciones IP residenciales diferentes para que ninguna desencadenara límites de tasa o alertas de abuso en el servicio objetivo. La infraestructura de NetNut también fue revendida y comercializada como marca blanca por varios proveedores de proxy más pequeños, lo que significa que los mismos dispositivos secuestrados terminaron impulsando servicios que nunca llevaron el nombre de NetNut.

El desmantelamiento

El FBI y la Investigación Criminal del IRS incautaron cientos de dominios vinculados a NetNut y reemplazaron la página principal de la empresa con un aviso de confiscación. Google desactivó las cuentas de Google que NetNut utilizaba para el comando y control de malware, actualizó Google Play Protect para marcar automáticamente las aplicaciones que contenían el SDK oculto y compartió indicadores técnicos con la comunidad de seguridad en general para acelerar la limpieza en los dispositivos ya infectados. La magnitud de la respuesta, coordinada entre una agencia federal, una plataforma importante y empresas de seguridad independientes, refleja lo fundamental que se ha vuelto el abuso de proxies residenciales tanto para el cibercrimen moderno como para el espionaje.

Importante: Si posee un televisor inteligente de bajo costo, un decodificador de streaming o una aplicación "gratuita" desconocida de tipo proxy o VPN, busque actualizaciones de firmware, revise qué aplicaciones tienen acceso total a la red y elimine todo lo que no pueda justificar.

No es lo mismo que una VPN

Vale la pena ser precisos sobre lo que realmente era NetNut: no una VPN, sino una red de proxies residenciales construida monetizando el ancho de banda de dispositivos cuyos propietarios nunca aceptaron el acuerdo. Un servicio VPN legítimo publica quién es el dueño, revela su política de registros y jurisdicción, y enruta únicamente el tráfico de la persona que decidió instalarlo, a través de servidores que el proveedor realmente opera y de los cuales es responsable. Servicios como NetNut, en cambio, extraen el ancho de banda del hardware de extraños y revenden el acceso al mismo, dejando al propietario del dispositivo sin visibilidad sobre quién está utilizando su conexión o por qué. Esta distinción es importante para cualquiera que esté sopesando una herramienta "gratuita" de enrutamiento de tráfico frente a un servicio de privacidad de pago y auditado: recortar gastos con una aplicación proxy dudosa es exactamente la forma en que un televisor inteligente termina formando parte de una botnet en primer lugar.

Por qué sigue ocurriendo esto

NetNut no es el primer operador de proxies residenciales vinculado a hardware secuestrado, y los investigadores afirman que no será el último. El modelo de negocio en sí, pagar por el acceso a direcciones IP domésticas reales a gran escala, crea un incentivo constante para mirar hacia otro lado sobre cómo se obtuvo ese acceso. La interrupción por parte de Google elimina a un proveedor importante, pero la demanda de IP residenciales difíciles de bloquear por parte de spammers, grupos de robo de credenciales y operadores de fraude publicitario no ha desaparecido, razón por la cual los equipos de seguridad esperan que surjan sucesores de marca blanca en cuestión de meses.

Conclusión

Conclusión: El desmantelamiento de NetNut demuestra cómo una red proxy "gratuita" o barata puede convertir silenciosamente dispositivos domésticos comunes en infraestructura para hackers y espías, a una escala de dos millones de aparatos secuestrados. Comprobar qué software se ejecuta realmente en un televisor inteligente o enrutador, y elegir herramientas de red de proveedores que sean transparentes sobre su infraestructura, sigue siendo la defensa más sencilla contra convertirse en un nodo de salida involuntario de la próxima NetNut.
Etiquetas: privacidad vpn ciberseguridad vigilancia seguridad en internet google estados unidos

Lee también