En un mundo cada vez más interconectado, los dispositivos de Internet de las cosas (IoT) y aquellos que han alcanzado su fin de vida útil (EoL) se han convertido en un terreno fértil para actividades maliciosas. Recientemente, una operación conjunta entre las autoridades de Estados Unidos y Países Bajos tomó medidas decisivas para desmantelar una enorme botnet proxy compuesta por aproximadamente 7,000 dispositivos infectados, incluidos routers domésticos y empresariales, que habían sido convertidos en nodos para servicios proxy ilegales y anónimos. Esta red permitía que actores maliciosos llevaran a cabo actividades ilícitas con un alto grado de anonimato, lo cual representa una amenaza significativa para la seguridad cibernética mundial. La botnet se basaba en el uso de dispositivos IoT y equipos EoL que habían sido comprometidos mediante vulnerabilidades conocidas, principalmente por medio de un malware llamado TheMoon, que lleva años detectado en ataques contra routers, especialmente modelos Linksys. Las investigaciones de la Oficina Federal de Investigación de Estados Unidos (FBI) revelaron que los atacantes lograron acceso remoto persistente a dispositivos en todo el territorio estadounidense, incluyendo routers ubicados en Oklahoma.
Estos dispositivos fueron infectados discretamente sin el conocimiento de sus propietarios y agrupados en un proxy botnet que ofrecía servicios mediante suscripciones mensuales que oscilaban entre 9.95 y 110 dólares. El modus operandi de los ciberdelincuentes consistía en ofrecer a sus clientes la posibilidad de acceder a internet a través de proxies distribuidos en múltiples países, con énfasis en Estados Unidos, Canadá y Ecuador. Esta infraestructura les permitía ocultar la identidad real del usuario, facilitando la realización de actividades ilícitas como fraudes publicitarios, ataques de denegación de servicio distribuido (DDoS), intentos de fuerza bruta y la explotación de datos de víctimas vulnerables. La operación, conocida como Moonlander, dio un golpe contundente a la infraestructura delictiva al incautar dominios y anular el tráfico de datos relacionado con las plataformas proxy more conocidas como anyproxy.
net y 5socks.net. Ambos servicios eran administrados a partir de un solo conjunto de dispositivos y servidores de comando y control (C2), ubicados principalmente en Turquía. El análisis técnico mostró que esta botnet no solo infectaba dispositivos mediante el malware TheMoon, sino que también explotaba múltiples vulnerabilidades específicas de dispositivos EoL, que tradicionalmente no reciben actualizaciones de seguridad ni soporte oficial por parte de los fabricantes. La botnet implementaba múltiples canales de comunicación con sus víctimas.
Por ejemplo, utilizaba cinco servidores C2, cuatro de los cuales se comunicaban con los equipos infectados a través del puerto HTTP estándar 80, y uno utilizaba el protocolo UDP en el puerto 1443 para recibir tráfico de víctimas sin enviar datos de regreso, presumiblemente para almacenar información obtenida de los dispositivos comprometidos. Esta configuración técnica muestra la sofisticación en el diseño de la infraestructura maliciosa, diseñada para mantener un control eficiente y discreto sobre los equipos comprometidos. Los responsables de operar y mantener la botnet fueron identificados como ciudadanos rusos y kazajos, quienes enfrentan cargos por parte del Departamento de Justicia de Estados Unidos. Se sospecha que la red criminal ha estado activa desde 2004, lo que pone en evidencia la longevidad y persistencia de amenazas cibernéticas que actúan en las sombras durante largos periodos. La monetización de esta botnet ha sido significativa, con ingresos superiores a los 46 millones de dólares obtenidos mediante la venta de servicios de proxy a un elevado número de usuarios malintencionados alrededor del mundo.
El FBI, en su reciente informe, ha alertado sobre la gravedad del compromiso de dispositivos IoT y routers EoL, especialmente aquellos expuestos directamente a internet sin las protecciones necesarias. Dado que TheMoon no requiere contraseñas para infectar, sino que actúa explotando puertos abiertos y vulnerabilidades secuenciales en scripts vulnerables, la amenaza de propagación es altamente elevada. El malware no solo instala el software necesario para convertir routers en proxies, sino que también automatiza la búsqueda de nuevos objetivos, ampliando continuamente la botnet. Este episodio subraya la necesidad crítica de que usuarios y organizaciones adopten prácticas responsables en la gestión de sus dispositivos conectados. La recomendación principal pasa por la actualización constante del firmware, la sustitución oportuna de dispositivos que han alcanzado el fin de su vida útil, así como el cambio de configuraciones por defecto, incluyendo contraseñas y puertos vulnerables.
Además, se aconseja un reinicio regular de los dispositivos para eliminar infecciones temporales y sincronizarse con nuevas configuraciones de seguridad. Los expertos en ciberseguridad advierten que mientras exista una gran cantidad de dispositivos veteranos en circulación y una expansión continua del ecosistema IoT, las oportunidades para que los ciberdelincuentes exploten estas plataformas seguirán aumentando. La naturaleza descentralizada y muchas veces desatendida de estos dispositivos facilita su repurposing como parte de botnets para obtener ganancias ilícitas, dificultando enormemente la labor de detección y mitigación a nivel de red. Desde una perspectiva preventiva, es crucial que fabricantes, proveedores de servicios y gobiernos trabajen en conjunto para implementar políticas de seguridad más estrictas, promover el desarrollo de dispositivos con ciclos de soporte más alineados con las expectativas de uso prolongado, y fomentar una cultura de seguridad que incluya educación y concientización en usuarios finales. La detención y desarticulación de esta botnet proxy es un hito significativo pero también un recordatorio sombrío de las múltiples amenazas que acechan en el mundo digital.
Las operaciones coordinadas internacionalmente, que combinan inteligencia, tecnología y poder judicial, son esenciales para confrontar eficazmente estas redes criminales y proteger la infraestructura vital del internet global. El caso también pone en evidencia cómo las ganancias monetarias vinculadas a la gran escala delictiva cibernética motivan a actores organizados a innovar constantemente sus métodos de infección y evasión. Servicios proxy como anyproxy.net y 5socks.net demuestran la sofisticación alcanzada, facilitando la ocultación detrás de IPs residenciales comprometidas y complicando la eficacia de las herramientas de detección tradicionales.
En definitiva, el desmantelamiento de esta botnet brinda una oportunidad para reflexionar sobre la imperiosa necesidad de fortalecer la seguridad en la era digital, donde dispositivos de todo tipo están interconectados y potencian una serie de riesgos potenciales que deben ser gestionados colectivamente para salvaguardar la privacidad, la integridad y la disponibilidad de los sistemas en todo el mundo.