Autoridades holandesas desarticulan botnet de más de 17 millones de dispositivos

Qué pasó

La policía de Países Bajos, en coordinación con el Centro Nacional de Ciberseguridad (NCSC) de ese país, anunció el jueves la desarticulación de una botnet compuesta por más de 17 millones de dispositivos infectados, cuya infraestructura principal era administrada desde alrededor de 200 servidores alojados en territorio holandés.

Según informó el NCSC, la investigación se originó a partir de un reporte presentado por un investigador de seguridad, quien alertó a las autoridades sobre la existencia de la red. Tras recibir la denuncia, la policía procedió al decomiso de varios servidores del botnet en un proveedor de hosting local para los peritajes correspondientes. Posteriormente, el proveedor decidió desconectar el resto de la infraestructura, argumentando que ésta estaba siendo utilizada con fines criminales.

De acuerdo con una investigación publicada por NL Times, la red estaría vinculada a ASOCKS, una empresa con sede en Rusia que ofrece servicios de proxies residenciales. Este tipo de servicios permite a terceros enrutar su tráfico de internet a través de dispositivos de usuarios comunes, ocultando la ubicación e identidad real del solicitante. Ars Technica señaló que, aunque no pudo confirmar de manera independiente el reporte, la información resulta consistente con antecedentes previos.

En 2024, la firma de seguridad Human Security ya había detectado evidencia que conectaba a una botnet denominada Proxylib con ASOCKS. La investigación identificó direcciones IP y puertos infectados que coincidían con los listados por la propia empresa, así como solicitudes de tráfico salientes desde dispositivos de prueba hacia el dominio asocks[.]com. Adicionalmente, Human Security reportó que 28 aplicaciones disponibles en Google Play llegaron a inscribir a cerca de 190.000 dispositivos en la red de ASOCKS sin el consentimiento expreso de sus usuarios.

ASOCKS no respondió a las solicitudes de información enviadas por la prensa especializada. Hasta el cierre de esta edición, no se ha esclarecido de manera oficial el mecanismo mediante el cual los 17 millones de dispositivos fueron incorporados a la botnet, aunque las hipótesis más comunes apuntan a la explotación de vulnerabilidades de software, a la instalación de aplicaciones maliciosas o a la inclusión del proxy en los términos de servicio de ciertas aplicaciones.

Contexto

Las botnets —redes de dispositivos infectados controlados de forma remota— representan uno de los principales activos de la economía cibercriminal contemporánea. Su utilidad abarca desde ataques distribuidos de denegación de servicio (DDoS) hasta campañas de phishing, extracción masiva de datos y operación de servidores de comando y control. La proliferación de dispositivos conectados en el hogar y en entornos corporativos ha multiplicado la superficie de ataque disponible para los operadores de estas redes.

El caso de los proxies residenciales ilustra un modelo de negocio particularmente sensible. Empresas como ASOCKS comercializan el uso del ancho de banda de dispositivos comprometidos, transformándolo en un servicio que permite a terceros匿名izar su tráfico en internet. Esta práctica dificulta la mitigación de ciberataques, ya que las solicitudes maliciosas parecen provenir de direcciones IP residenciales legítimas, en muchos casos ubicadas en el mismo país de la víctima.

El sector de la ciberseguridad viene documentando un incremento sostenido en la sofisticación de estas redes. Investigaciones de firmas como Human Security, Recorded Future y Mandiant han identificado botnets que combinan dispositivos IoT, routers domésticos, teléfonos móviles y computadores personales. La monetización suele operar bajo esquemas de Malware-as-a-Service, donde los operadores arriendan el acceso a sus redes a otros grupos criminales, configurando una cadena de valor altamente especializada y globalizada.

La acción de las autoridades holandesas se enmarca en una tendencia internacional de mayor cooperación entre policías, agencias de inteligencia y centros nacionales de respuesta a incidentes. Operaciones similares en los últimos años —como el desmantelamiento de las redes Emotet, Qakbot y 911 S5— han demostrado que la acción coordinada puede reducir de manera significativa la capacidad operativa de estas infraestructuras, aunque el surgimiento de nuevas redes suele ser una constante en el ecosistema del cibercrimen.

Impacto para empresas chilenas

Aunque la operación fue ejecutada en Europa, sus implicaciones son relevantes para empresas y usuarios chilenos, dado el carácter transnacional del cibercrimen. Según datos de la Unidad de Coordinación de Ciberseguridad del Ministerio del Interior, Chile ha experimentado un aumento sostenido en los ataques DDoS y en las campañas de phishing dirigidas a empresas locales, sectores que precisamente se benefician de las botnets y de los servicios de proxies residenciales como el ofrecido por ASOCKS.

Las pequeñas y medianas empresas chilenas son particularmente vulnerables, ya que con frecuencia carecen de soluciones de monitoreo de tráfico y de personal especializado en seguridad informática. La utilización de proveedores de servicios administrados (MSP) y la adopción de marcos de referencia como NIST o ISO 27001 pueden contribuir a reducir la exposición, aunque el costo de implementación sigue siendo una barrera para un segmento importante del entramiento productivo nacional.

Para los hogares y trabajadores remotos, el caso refuerza la importancia de mantener actualizados los sistemas operativos, los firmware de routers y las aplicaciones móviles, además de revisar periódicamente los permisos otorgados a las aplicaciones instaladas. Investigaciones previas han demostrado que muchas aplicaciones gratuitas monetizan el acceso al dispositivo incluyéndolo en redes de proxies sin una divulgación transparente, práctica que ya es objeto de regulación en la Unión Europea y que podría ser abordada en proyectos de ley en discusión en distintos países de la región.

A nivel sectorial, bancos, empresas de telecomunicaciones y operadores de servicios financieros en Chile mantienen equipos de monitoreo de amenazas que ya incorporan inteligencia sobre redes de proxies residenciales. No obstante, la sofisticación de los mecanismos de ocultamiento exige una inversión sostenida en capacidades de detección, lo que plantea un desafío permanente para la industria local de ciberseguridad.

Qué sigue

Las autoridades holandesas no han informado de detenidos ni de procesos judiciales en curso relacionados con la operación, por lo que el cierre definitivo de la red podría tardar varias semanas. Se espera que en los próximos meses se publiquen nuevos indicadores de compromiso que permitan a empresas y proveedores de servicios de internet identificar dispositivos previamente comprometidos.

A mediano plazo, el caso podría acelerar la discusión regulatoria sobre la transparencia en el uso de proxies residenciales y sobre la responsabilidad de los proveedores de hosting que alojan infraestructura vinculada a actividades ilícitas. La cooperación internacional entre agencias de ciberseguridad seguirá siendo determinante, considerando que el modelo de negocio de las botnets evoluciona con rapidez y se adapta con facilidad a los vacíos normativos de distintas jurisdicciones.