architect

La continua interrupción de Google de las redes de proxy residenciales maliciosas.

Fuente: cloudblog.withgoogle.com 6 min de lectura

Compartir

La continua interrupción de Google de las redes de proxy residenciales maliciosas.

Estás leyendo un resumen. El contenido completo está en cloudblog.withgoogle.com.

Hoy, en coordinación con el FBI, Lumen, y otros, Google tomó medidas contra la red de proxies residenciales NetNut, también conocida como Popa. Esta acción se suma a nuestra interrupción de la red de proxies IPIDEA que tuvo lugar en enero de 2026 y es una continuación del objetivo de Google de desmantelar redes de proxies residenciales maliciosas.

Como parte de esta interrupción, tomamos las siguientes acciones: Deshabilitamos las cuentas de Google y los servicios asociados utilizados por NetNut para el comando y control (C2) de malware, lo que viola directamente los Términos de Servicio y la Política de Uso Aceptable de Google. Compartimos inteligencia técnica sobre los kits de desarrollo de software (SDK) de NetNut y la infraestructura de C2 con proveedores de plataformas, fuerzas del orden y empresas de investigación para ayudar a generar conciencia y aplicación a nivel ecosistema. Aseguramos que Google Play Protect, la protección de seguridad integrada de Android, advertía automáticamente a los usuarios y desactivaba aplicaciones conocidas por incorporar SDKs de NetNut, y el sistema seguirá protegiendo a los usuarios contra futuros intentos de instalación. Estos esfuerzos para mantener seguro el ecosistema digital más amplio complementan las protecciones que tenemos para salvaguardar a los usuarios de Android en dispositivos certificados. Creemos que nuestras acciones coordinadas han causado una degradación significativa en la red de proxies de NetNut y sus operaciones comerciales, reduciendo el número de dispositivos disponibles para el operador de proxies en millones. Además de vender acceso a la red bajo la marca NetNut, NetNut tiene un programa robusto de reventa que permite el etiquetado blanco de su red. Google tiene una gran confianza en que muchas marcas de proxies residenciales populares están en realidad etiquetando en blanco la botnet de NetNut. Si bien esperamos que esta interrupción tenga un efecto más amplio en el ecosistema de proxies residenciales, las observaciones después de la interrupción de IPIDEA demostraron que las redes individuales pueden parecer resilientes. Lo que hemos observado es que, cuando se enfrentan a la degradación de su propia botnet, los operadores de proxies comienzan a comprar capacidad de sus competidores, convirtiéndose efectivamente en un revendedor. Reconocemos que crear una interrupción duradera en este ecosistema fluido significa que debemos escalar nuestros esfuerzos para dirigirnos a la infraestructura de varios proveedores interconectados. Continuaremos observando la composición de la red de NetNut y mapeando cómo sus pares se adaptan a esta acción.

NetNut se encuentra entre las redes de proxies residenciales más grandes y populares. Estimar el tamaño de las redes de proxies residenciales es extremadamente complicado, pero el Grupo de Inteligencia de Amenazas de Google (GTIG) estima que el tamaño de la red de NetNut es de al menos 2 millones de dispositivos, distribuidos por todo el mundo. Informes públicos de KrebsOnSecurity y otros, confirmados por Google, ilustran que NetNut pobla su botnet distribuyendo SDKs para dispositivos comúnmente encontrados en hogares, como televisores inteligentes y cajas de streaming. GTIG también ha identificado componentes del plugin de la botnet de NetNut para botnets a gran escala como Badbox 2.0. Las redes de proxies residenciales venden la capacidad de enrutar tráfico a través de direcciones IP pertenecientes a proveedores de servicios de Internet (ISPs), permitiendo a los atacantes enmascarar actividades maliciosas secuestrando estas direcciones IP. Una sólida red de proxies residenciales requiere controlar millones de direcciones IP residenciales para vender a los clientes para su uso. Para lograr esto, los operadores necesitan código que funcione en dispositivos domésticos para inscribirlos en la red maliciosa como nodos de salida. Los dispositivos domésticos se convierten en parte de redes de proxies ya sea porque vienen preinstalados con malware antes de ser comprados o porque los usuarios de forma inadvertida descargan aplicaciones que contienen código proxy oculto. Esto crea riesgos graves para los propietarios de dispositivos desprevenidos, ya que sus direcciones IP hogareñas pueden ser utilizadas por atacantes como un trampolín para hackeos y otras actividades no autorizadas. En consecuencia, los usuarios pueden tener su tráfico legítimo marcado como sospechoso o bloqueado por sus proveedores de servicio. En una sola semana durante junio de 2026, GTIG observó 316 grupos de amenazas distintos utilizando nodos de salida sospechosos de NetNut, incluyendo grupos cibercriminales y de espionaje. Estos actores maliciosos pueden usar NetNut para enmascarar su dirección IP de origen al acceder a entornos de víctimas, acceder a su propia infraestructura y llevar a cabo ataques de pulverización de contraseñas. Además, cuando un dispositivo de consumidor se convierte en un nodo de salida, el tráfico de red no autorizado pasa a través de él. Esto significa que los actores maliciosos pueden acceder a otros dispositivos privados en la misma red doméstica, exponiéndolos efectivamente a amenazas de Internet. Informes públicos de Synthient, Spur, Nokia Deepfield y otros han documentado el uso de NetNut para infectar dispositivos con variantes de botnets DDoS Mirai.

Los consumidores deben tener mucho cuidado con las aplicaciones que ofrecen pago a cambio de "ancho de banda no utilizado" o "compartir su internet". Estas aplicaciones son maneras primarias para que las redes de proxies maliciosas crezcan y podrían abrir vulnerabilidades de seguridad en la red doméstica del dispositivo. Instamos a los usuarios a apegarse a las tiendas de aplicaciones oficiales, revisar los permisos de VPNs y proxies de terceros, y asegurarse de que las protecciones de seguridad integradas como Google Play Protect estén activas. Los consumidores deben ser cautelosos al comprar dispositivos conectados, como cajas de televisión, para asegurarse de que provengan de fabricantes reputables. Por ejemplo, para ayudarle a confirmar si un dispositivo está diseñado con el sistema operativo Android TV oficial y certificado por Play Protect, nuestro sitio web de Android TV proporciona la lista más actualizada de socios. También puede seguir estos pasos para verificar si su dispositivo Android está certificado por Play Protect.

Como mencionamos a principios de este año, la industria de proxies residenciales parece estar expandiéndose rápidamente, y esta interrupción coordinada no es el final de nuestro trabajo contra redes de proxies residenciales maliciosas. Esta industria está profundamente conectada y los operadores dependen de redes de botnets superpuestas que se revenden constantemente. Si bien las interrupciones puntuales son una herramienta crítica para proteger a nuestros usuarios, se necesita un esfuerzo continuado y coordinado para reducir las redes de proxies maliciosas a largo plazo. Alentamos a las plataformas móviles, ISPs y otras plataformas tecnológicas a continuar compartiendo inteligencia y tomar acción directa para bloquear la infraestructura de C2 maliciosa.

Leer el artículo completo en el sitio original

Enlace externo a cloudblog.withgoogle.com

Artículos relacionados