Los ciberdelincuentes han comprometido silenciosamente más de 14.000 dispositivos en todo el mundo, usándolos para construir un nuevo tipo de arma cibernética contra la cual es excepcionalmente difícil defenderse. La operación, detallada en un informe reciente de la firma de seguridad Lumen, se basa en una red descentralizada de enrutadores infectados (principalmente modelos Asus) para enrutar el tráfico malicioso y evadir la detección.
Cómo funciona la botnet
El malware, denominado “KadNap”, opera a través de un sistema de igual a igual. Esto significa que no hay ningún servidor central que apagar, lo que hace que la botnet sea muy resistente. Los atacantes secuestran dispositivos conectados a Internet (enrutadores, dispositivos inteligentes, etc.) y los vinculan para lanzar ataques distribuidos de denegación de servicio (DDoS). Estos ataques abruman con tráfico los sitios web y los servicios en línea, dejándolos fuera de línea.
La principal ventaja de KadNap es su capacidad de integrarse. Al enrutar el tráfico a través de enrutadores domésticos comunes, los atacantes evitan los filtros de seguridad convencionales. Para el usuario medio, el único signo de infección podría ser una velocidad de Internet ligeramente más lenta.
Alcance e impacto global
La mayoría de los dispositivos infectados se encuentran en Estados Unidos, pero KadNap también se ha extendido al Reino Unido, Australia, Brasil, Rusia y toda Europa. El informe destaca una tendencia creciente: a medida que más dispositivos se conectan al Internet de las cosas (IoT), aumentan las oportunidades de explotación.
Los actores de amenazas ahora están creando botnets a gran escala específicamente para secuestrar estos dispositivos vulnerables. El informe de Lumen subraya este peligro: “A medida que la sociedad moderna depende cada vez más de dispositivos de Internet de las cosas (IoT) expuestos a Internet, siguen abundando las oportunidades para que actores maliciosos exploten las vulnerabilidades”.
La conexión doble
Los bots de KadNap se venden a través de un servicio llamado Doppelganger, que permite a los usuarios aprovechar los dispositivos secuestrados para diversas actividades maliciosas. Estos incluyen ataques de fuerza bruta y campañas de explotación muy específicas. Cada dirección IP asociada con esta botnet representa un riesgo significativo y persistente para organizaciones e individuos.
“Su intención es clara: evitar la detección y dificultar la protección de los defensores”, concluye Lumen.
Este tipo de delito cibernético demuestra un cambio hacia métodos más sofisticados e imposibles de rastrear. Las medidas de seguridad tradicionales son cada vez más ineficaces contra las botnets descentralizadas que explotan los dispositivos cotidianos. El auge de KadNap subraya la necesidad urgente de prácticas de ciberseguridad más sólidas y detección proactiva de amenazas.
