En una operación judicial autorizada que se extendió entre varios países, las fuerzas del orden desmantelaron parte de la infraestructura de control que alimentaba a algunas de las redes de dispositivos comprometidos más potentes de los últimos años. Las autoridades estadounidenses anunciaron que han intervenido servidores de mando y control (C2) vinculados a botnets de Internet de las Cosas (IoT) como AISURU, Kimwolf, JackSkid y Mossad, en una acción en la que colaboraron socios en Canadá y Alemania y numerosas empresas del sector privado. Se trató de una respuesta coordinada para cortar el suministro que permitía a estas redes lanzar ataques masivos; la investigación contó con apoyo técnico de actores como Akamai, Amazon Web Services, Cloudflare, Google, Lumen, entre otros, según el comunicado oficial del Departamento de Justicia.
La escala del problema explica la urgencia de la operación. Estas botnets han sido responsables de ataques distribuidos de denegación de servicio (DDoS) que alcanzaron magnitudes sin precedentes: algunos eventos medidos por empresas de mitigación superaron los 30 terabits por segundo, y en un caso específico Cloudflare atribuyó un pico de 31,4 Tbps ocurrido en noviembre de 2025 que duró apenas 35 segundos. Hablamos de oleadas de tráfico que pueden saturar infraestructuras clave de internet y dejar fuera de servicio a proveedores y organizaciones. Puedes leer la nota del Departamento de Justicia sobre la operación aquí: justice.gov, y una cobertura técnica y periodística sobre la investigación en Krebs on Security.
Los actores detrás de estas redes usaron principalmente dispositivos cotidianos: decodificadores de TV Android de marcas chinas de bajo coste, grabadores de vídeo digital, cámaras web y routers domésticos. Al explotar vulnerabilidades y credenciales por defecto, los operadores lograron convertir millones de aparatos en «zombies» que ejecutaban órdenes de ataque. Según los documentos judiciales, las variantes vinculadas al viejo Mirai llegaron a emitir cientos de miles de comandos de ataque a lo largo de su actividad. El resultado fue una botnet global compuesta por millones de dispositivos, que ofrecía su potencia como un producto vendible en un mercado ilícito.
Una de las novedades que los investigadores señalan como causa de la rápida expansión fue la adopción de nuevas técnicas: Kimwolf, en particular, explotó lo que se ha descrito como redes de proxy residenciales, permitiendo a los atacantes pivotar desde dispositivos dentro de redes domésticas y sortear protecciones que normalmente aíslan entornos domésticos de los escaneos masivos. En palabras de expertos implicados en la operación, eso supuso un cambio de paradigma: en vez de limitarse a buscar equipos expuestos en el borde público de internet, los atacantes se reclutan dentro de las propias redes locales, con todo lo que ello conlleva para la resiliencia y el anonimato de la botnet. Un análisis de Akamai sobre la intervención técnica y el impacto está disponible en su blog: Akamai.
La investigación mediática también ha tratado de identificar a quienes estarían detrás de algunas de estas operaciones. Informes periodísticos han señalado a al menos dos personas como sospechosos potenciales: un joven de 23 años en Ottawa que, según la cobertura, afirmó no usar desde hace años un alias vinculado a la botnet y dijo haber sido suplantado, y otro individuo menor de edad en Alemania. En ambos casos las autoridades no han informado de detenciones públicas al cierre de los comunicados, y las investigaciones siguen su curso; puedes consultar el trabajo de seguimiento en Krebs on Security.
Más allá de quién apretaba los botones, la respuesta técnica fue contundente: operadores de redes y empresas de seguridad realizaron medidas como el null-routing de cientos de servidores de comando, despliegues de filtrado y cooperación para rastrear la infraestructura. Lumen Black Lotus Labs, por ejemplo, informó de esfuerzos para bloquear servidores C2 y de datos operativos sobre el crecimiento diario de víctimas de botnets como JackSkid y Mossad en marzo de 2026, cifras que ilustran la velocidad con la que estas amenazas pueden expandirse. Al mismo tiempo, múltiples proveedores ayudaron a cerrar la palanca con la que se ordenaban estas oleadas de tráfico. La nota del Departamento de Justicia detalla parte de esa colaboración y los actores implicados.
Este episodio tiene varias lecciones claras para quienes gestionan dispositivos y para las políticas públicas. Primero, la enorme cantidad de aparatos conectados y la falta de medidas mínimas de seguridad en muchos modelos baratos crean un caldo de cultivo para redes de bots. Segundo, la capacidad de alquilar o vender acceso a esos recursos a terceros criminales multiplica el daño potencial: no se trata solo de un operador que realiza ataques, sino de un mercado que profesionaliza y escala la oferta delictiva. Y tercero, la defensa requiere coordinación entre empresas, inteligencia privada y fuerzas del orden para neutralizar tanto la infraestructura técnica como la cadena económica que sostiene estas actividades.
Si tienes dispositivos conectados en casa o gestionas una red pequeña, conviene tomar medidas concretas: aplicar actualizaciones de firmware, cambiar contraseñas por defecto, desactivar servicios innecesarios y, cuando sea posible, segregar los dispositivos IoT en una subred aparte para limitar su acceso a recursos críticos. También es recomendable elegir fabricantes con historial de soporte y activar mecanismos de actualización automática. Estas prácticas no garantizan inmunidad total, pero reducen significativamente la superficie de ataque.
La operación reciente demuestra que, aunque las botnets masivas pueden convertirse en una amenaza mundial, la colaboración internacional y público-privada puede dar golpes efectivos a su infraestructura. No obstante, mientras sigan existiendo dispositivos inseguros y modelos de negocio que los prioricen, seguiremos viendo intentos de explotación y brotes de nuevas familias de botnets. Mantener la ciberseguridad como una prioridad en la fabricación, la regulación y el uso cotidiano es la única manera de bajar la temperatura de este problema.
Para ampliar información: comunicado del Departamento de Justicia sobre la intervención (justice.gov), indagaciones periodísticas y técnicas en Krebs on Security, reportes de reasearch corporativo como el de Akamai y sobre JackSkid en Foresiet.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...