Tu móvil o tu router pudo ser uno de los 17 millones de aparatos alquilados en secreto

Una botnet no siempre se delata ralentizando el teléfono ni llenando la pantalla de ventanas emergentes. La red que acaba de desmantelar la policía neerlandesa apenas hacía nada que su dueño pudiera notar. Tomaba prestada en silencio una porción de más de 17 millones de aparatos —ordenadores, móviles, tabletas, routers domésticos y dispositivos conectados— y alquilaba sus conexiones a terceros. Si uno de esos aparatos era el tuyo, alguien a quien nunca conocerás pudo estar navegando, raspando datos o atacando webs a través de tu línea de casa durante meses.

La Policía Nacional de los Países Bajos y el Centro Nacional de Ciberseguridad del país pusieron fin a la operación tras incautar unos 200 servidores a un proveedor de alojamiento dentro del propio territorio neerlandés. Los investigadores describen la red como un servicio de proxy residencial: un sistema que enruta el tráfico de unos a través de dispositivos reales de otros para que parezca navegación doméstica corriente. Ese disfraz es justamente el producto. El tráfico que aparenta salir de una dirección doméstica auténtica esquiva los filtros antifraude que bloquearían al instante un servidor de centro de datos conocido, y por eso los proxies residenciales son tan codiciados por anunciantes, rastreadores de datos y delincuentes por igual.

La prensa neerlandesa ha vinculado la infraestructura con ASOCKS, una empresa con sede en Rusia que vende acceso a proxies residenciales y móviles de forma comercial. En la superficie, ASOCKS parece un negocio de suscripción normal. El problema es de dónde salen sus conexiones residenciales. Los investigadores de seguridad llevan años advirtiendo de que buena parte de los aparatos que alimentan redes como esta nunca se dieron de alta a sabiendas, y que sus dueños no tenían ni idea de que su ancho de banda estaba en venta.

Los aparatos se reclutaron de varias maneras, y casi todas se reducen a una confianza mal puesta en el software gratuito. Algunos usuarios instalaron una aplicación gratis —un fondo de pantalla, una utilidad para el móvil o una VPN no oficial— que incorporaba en segundo plano un software proxy. En Android, una librería de código llamada PROXYLIB, escondida dentro de un kit de desarrollo que los creadores de apps integraban en sus productos, daba de alta los teléfonos como nodos proxy sin preguntar. Otras máquinas se infectaron con malware que instalaba directamente la misma capacidad. En todos los casos el aparato seguía funcionando con normalidad mientras su conexión trabajaba para otro.

Una vez dentro del grupo, la conexión de un dispositivo podía usarse para casi cualquier cosa que se beneficie de parecer un usuario doméstico inocente. Las autoridades neerlandesas afirman que la red alimentaba campañas de phishing, spam, ataques de denegación de servicio que tumban servicios en línea, intentos de acceso por fuerza bruta y relleno de credenciales, fraude de clics y esquemas de SMS premium que vacían dinero en silencio. Un solo router secuestrado apenas genera nada de eso por su cuenta. Diecisiete millones, sumados, se convierten en infraestructura seria.

El desmantelamiento es real, pero no es una cura. La policía se quedó con los servidores que coordinaban la red, pero la web de ASOCKS seguía siendo accesible después, y no está claro cuánto del negocio de fondo quedó realmente destruido. Apagar los servidores de mando no limpia automáticamente los 17 millones de aparatos, porque el código proxy y el malware pueden quedarse intactos en un teléfono o un router hasta que un nuevo operador los recupere. Además, el abuso de proxies residenciales es un mercado, no una sola empresa. Cierras una red y la demanda migra a la siguiente, porque el apetito legítimo por direcciones reales —desde firmas de verificación publicitaria hasta empresas de IA que rastrean la web— mantiene el modelo rentable.

Para hacerse una idea de la escala, 17 millones de aparatos sitúan a esta entre las mayores redes proxy desconectadas nunca, muy por encima de muchas de las botnets de malware que saltan a los titulares por difundir un único virus. Pero, a diferencia de un ataque de ransomware, rara vez hay un síntoma evidente. Las pistas suelen ser anodinas: un router que se calienta o se reinicia sin motivo, una tarifa de casa que choca una y otra vez con su límite de datos, un teléfono cuyo gasto de batería y datos no encaja con el uso real, o que las webs te pidan resolver captchas una y otra vez porque tu dirección les resulta sospechosa.

Como los aparatos infectados estaban repartidos por todo el mundo y no concentrados en un solo país, el riesgo no es regional. Cualquiera con un router viejo o un móvil Android barato cargado de utilidades gratuitas pudo verse arrastrado. Las defensas prácticas son poco vistosas y de sobra conocidas: mantén actualizados routers y teléfonos, borra las apps gratuitas que no uses, evita el software descargado fuera de las tiendas oficiales y las VPN no oficiales que prometen algo a cambio de nada, y reinicia el router que lleve años funcionando sin tocarse.

El caso empezó cuando un investigador de seguridad alertó al Centro Nacional de Ciberseguridad de una actividad proxy sospechosa, y las autoridades neerlandesas han señalado que el análisis de los servidores incautados sigue en marcha, sin detenciones anunciadas por ahora. Lo que deja claro es que la economía de los dispositivos incluye ya un mercado negro de tu ancho de banda. La próxima vez que una aplicación sea gratis, el producto a la venta puede ser la conexión a internet que ya estás pagando.