Underc0de - La Casa de los Informáticos

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Julio 02, 2026, 06:15:04 PM

Título: Google desmantela millones de nodos de la red proxy NetNut
Publicado por: Dragora en Julio 02, 2026, 06:15:04 PM
(https://i.imgur.com/d9Dh5IB.jpeg)

Google ha asestado un duro golpe a NetNut, una de las mayores redes proxy residenciales del mundo, utilizada por ciberdelincuentes y grupos de espionaje para ocultar el origen de sus ataques mediante millones de dispositivos domésticos comprometidos.

La operación, llevada a cabo por el Google Threat Intelligence Group (GTIG) en colaboración con el FBI, Lumen Technologies y otros socios del sector de la ciberseguridad, logró reducir significativamente la infraestructura de la red, inutilizando millones de dispositivos que actuaban como nodos de salida para enrutar tráfico malicioso.

Aunque la intervención representa un importante avance en la lucha contra las redes proxy abusivas, Google advierte que la amenaza está lejos de desaparecer. La compañía considera que NetNut forma parte de un ecosistema mucho más amplio de servicios de proxy residencial que continúan evolucionando y reapareciendo bajo distintas marcas comerciales.

¿Qué es NetNut y por qué preocupa a los expertos?

NetNut, también identificada por los investigadores bajo el nombre de Popa, es una extensa red de proxies residenciales que convierte dispositivos conectados a Internet en puntos de retransmisión para el tráfico de terceros.

Según las estimaciones del Google Threat Intelligence Group, la infraestructura estaba formada por al menos dos millones de dispositivos domésticos distribuidos en numerosos países.

Entre los equipos afectados se encuentran:


Cuando uno de estos dispositivos pasa a formar parte de la red, personas completamente ajenas pueden utilizar la conexión a Internet del propietario para navegar, lanzar ataques o realizar actividades ilícitas.

Como consecuencia, la dirección IP del usuario aparece como origen del tráfico, dificultando la identificación del verdadero atacante.

¿Cómo funciona una red proxy residencial?

Las redes proxy residenciales ofrecen direcciones IP legítimas pertenecientes a usuarios reales.

A diferencia de los centros de datos tradicionales, cuya actividad suele ser detectada y bloqueada por soluciones de seguridad, el tráfico generado desde conexiones domésticas resulta mucho más difícil de identificar como malicioso.

El funcionamiento es relativamente sencillo:


Esta infraestructura permite a los atacantes ocultar su ubicación real y evadir numerosos sistemas de detección.

¿Cómo llegan estas redes a los dispositivos?

Google explica que existen diversas formas mediante las cuales los dispositivos terminan formando parte de este tipo de redes.

En algunos casos, determinados fabricantes de hardware económico incluyen componentes de software ya instalados durante la fabricación.

En otros escenarios, el código malicioso o el servicio proxy se instala cuando el usuario descarga aplicaciones aparentemente gratuitas que ocultan funciones destinadas a compartir el ancho de banda del dispositivo.

Una vez activado, el software convierte silenciosamente el equipo en un nodo de salida sin que el propietario sea plenamente consciente del uso que se está haciendo de su conexión.

Además del consumo de ancho de banda, esta situación puede abrir nuevas oportunidades para que los atacantes accedan a otros dispositivos presentes dentro de la misma red doméstica.

NetNut también ha servido para campañas de espionaje y ciberataques

La investigación de Google revela que la red no solo era utilizada para actividades de navegación anónima.

Durante una sola semana de junio de 2026, el Google Threat Intelligence Group detectó 316 grupos de amenazas diferentes utilizando nodos asociados con NetNut.

Entre ellos se encontraban:


El uso de direcciones IP residenciales permite que estos ataques resulten mucho más difíciles de rastrear y bloquea numerosas técnicas tradicionales de detección basadas en reputación de direcciones IP.

La relación entre NetNut y la empresa Alarum Technologies

Uno de los aspectos más controvertidos del caso es la identificación del operador comercial detrás de la red.

Investigadores de Qurium, Synthient, Nokia Deepfield y Spur concluyeron recientemente que la infraestructura conocida como Popa mantiene una estrecha relación con NetNut, un proveedor comercial de proxies perteneciente a la empresa israelí Alarum Technologies, que cotiza en el índice NASDAQ bajo el símbolo ALAR.

Como parte de su investigación, Synthient realizó una prueba controlada que mostró cómo el tráfico enviado a través del servicio comercial de NetNut terminaba utilizando un dispositivo previamente registrado dentro de la infraestructura Popa.

Google afirma que sus propios análisis coinciden con estos hallazgos y considera que ambos nombres hacen referencia a la misma red.

Alarum rechaza las acusaciones

Alarum Technologies ha rechazado categóricamente las conclusiones publicadas por los investigadores.

La empresa sostiene que su servicio no constituye una botnet y afirma que el software únicamente permite compartir ancho de banda con el consentimiento de los usuarios.

Según la compañía, las investigaciones contienen:


Sin embargo, los investigadores de Synthient afirman haber analizado más de veinte aplicaciones vinculadas a este ecosistema sin encontrar solicitudes claras de consentimiento para compartir la conexión a Internet de los usuarios.

Este punto continúa siendo uno de los principales focos del debate entre investigadores y la empresa.

Google advierte que eliminar una sola red no resuelve el problema

Aunque la operación ha reducido significativamente la capacidad operativa de NetNut, Google reconoce que el problema no desaparece con una única intervención.

La razón es que la infraestructura funciona mediante un amplio programa de distribuidores y revendedores.

Diversas empresas comercializan acceso a la misma red bajo diferentes nombres comerciales, dando la impresión de tratarse de servicios independientes cuando, en realidad, utilizan el mismo conjunto de dispositivos comprometidos.

Por este motivo, Google prefiere describir la operación como una degradación de la infraestructura y no como su eliminación definitiva.

La experiencia obtenida en operaciones anteriores demuestra que muchos operadores simplemente comienzan a comprar capacidad a otras redes proxy, reconstruyendo rápidamente su infraestructura.

Casos anteriores: IPIDEA y Badbox 2.0

Google recuerda que esta no es la primera operación de este tipo.

En enero de este año, la compañía colaboró con distintas organizaciones para interrumpir IPIDEA, una de las mayores redes proxy con origen en China.

Posteriormente, en julio de 2025, Google también emprendió acciones legales contra los responsables de Badbox 2.0, una conocida botnet formada por dispositivos Android TV comprometidos que comparte componentes técnicos con la infraestructura utilizada por Popa y NetNut.

Ambos casos demostraron que este tipo de ecosistemas poseen una gran capacidad de recuperación y suelen reorganizarse rápidamente tras cada intervención.

Cómo proteger tus dispositivos frente a redes proxy residenciales

Google recomienda que los consumidores adopten una serie de medidas preventivas para evitar que sus dispositivos terminen formando parte de este tipo de infraestructuras.

Entre las principales recomendaciones destacan:


Una amenaza que seguirá evolucionando

La degradación de NetNut representa uno de los mayores golpes recientes contra las redes proxy residenciales utilizadas por la ciberdelincuencia. Sin embargo, los expertos advierten que la elevada demanda de direcciones IP residenciales para ocultar actividades maliciosas garantiza que nuevos operadores intentarán ocupar rápidamente el espacio dejado por esta infraestructura.

Para los equipos de ciberseguridad, el desafío ahora será identificar si el tráfico asociado con NetNut reaparece bajo nuevas marcas comerciales o mediante redes de revendedores. Mientras tanto, para los usuarios, la mejor defensa sigue siendo adoptar buenas prácticas de seguridad, utilizar dispositivos de fabricantes confiables y evitar instalar aplicaciones que prometan beneficios económicos a cambio de compartir recursos de su conexión a Internet, ya que estas pueden convertir inadvertidamente el hogar en parte de una red utilizada para actividades delictivas.

Fuente: https://thehackernews.com/