Hace semanas, investigadores en seguridad alertaron sobre un botnet nuevo y activo que está transformando routers domésticos y otros equipos de borde en proxies a disposición de criminales. Según el equipo de investigación de amenazas conocido como Black Lotus Labs, este malware —bautizado como KadNap— ha crecido de forma notable desde agosto de 2025 y ya agrupa decenas de miles de dispositivos dentro de una red peer-to-peer que complica su rastreo y mitigación.
La clave técnica del problema es que KadNap utiliza una variante del protocolo Kademlia —una tabla hash distribuida (DHT)— para ocultar y distribuir la información de comando y control (C2). En lugar de depender de un único servidor central, los dispositivos infectados se comunican entre sí para localizar nodos de control, de modo que eliminar una IP concreta no desactiva la botnet en bloque. Para entender la idea de fondo puede consultarse la explicación técnica de Kademlia en fuentes públicas como la entrada de referencia en Wikipedia: https://en.wikipedia.org/wiki/Kademlia.
El modus operandi técnico reportado arranca con la descarga de un script malicioso (denominado aic.sh en los análisis) desde una dirección IP concreta. Ese script persiste en el equipo creando una tarea programada que se ejecuta con frecuencia, y a continuación instala un binario ELF —llamado kad en los hallazgos— que actúa como cliente del botnet. El binario consulta la IP externa de la máquina y sincroniza tiempo y arranque con servicios NTP para calibrar su comportamiento antes de integrarse en la red de pares.
Pese a la apariencia descentralizada, los investigadores detectaron un patrón que abre una ventana de defensa: la implementación de Kademlia por parte de KadNap mantiene conexiones constantes a dos nodos concretos antes de alcanzar los servidores de control finales. Ese comportamiento reduce la verdadera descentralización y facilita identificar infraestructura relevante para la xclusión o el bloqueo. El propio descubrimiento y análisis han sido divulgados por Black Lotus Labs; su trabajo subraya cómo los atacantes mezclan técnicas P2P con hábitos operativos repetitivos que a veces los delatan.
Geográficamente, la mayor parte de los dispositivos comprometidos se encuentra en Estados Unidos —aproximadamente el 60% según el informe—, con concentraciones adicionales en Taiwán, Hong Kong y Rusia. El botnet ha llegado a abarcar alrededor de 14.000 nodos en la ventana analizada, y casi la mitad de esos equipos se asocian a infraestructura de control orientada específicamente a routers de la marca ASUS.
En cuanto a la monetización, los investigadores relacionan KadNap con un servicio de proxy denominado Doppelganger, que parece ser una reempaquetación de servicios previos como Faceless. Estos mercados venden el acceso a máquinas infectadas como "proxies residenciales", útiles para encubrir tráfico malicioso y sortear bloqueos: desde ataques DDoS hasta campañas de credential stuffing y fuerza bruta. Eso convierte a los equipos domésticos comprometidos en un recurso comercial para actores delictivos que buscan anonimato y filtrado geográfico del tráfico.
Las acciones defensivas no se hicieron esperar: Lumen afirmó que ha bloqueado en su propia red el tráfico asociado con la infraestructura de control identificada, y anunció que publicaría indicadores de compromiso (IOCs) para ayudar a otros operadores y administradores a detectar y mitigar la botnet. Estas medidas remachan que la cooperación entre investigadores, operadores y proveedores es crítica cuando una amenaza se distribuye por la red global.
¿Qué puede hacer un usuario doméstico o un administrador de red pequeña ahora mismo? Actualizar el firmware del router y cambiar las credenciales por defecto es la primera línea de defensa; muchas infecciones en dispositivos de borde prosperan por credenciales débiles y versiones sin parchear. También conviene desactivar funciones de gestión remota si no se utilizan, habilitar el cifrado WPA2/3 en la Wi‑Fi y segregar dispositivos IoT en una red independiente de la red principal. Si se sospecha una infección, un reinicio no siempre basta: restaurar a valores de fábrica y aplicar el firmware más reciente es la forma más segura de limpiar un router comprometido. Para referencias sobre buenas prácticas y mitigaciones, las guías oficiales de agencias públicas y marcos de seguridad resultan útiles; por ejemplo, las recomendaciones de CISA para proteger redes domésticas y de teletrabajo ofrecen pasos concretos: https://www.cisa.gov/publication/securing-home-networks-work. También es pertinente revisar técnicas de persistencia documentadas en marcos como MITRE ATT&CK, que describen cómo el malware usa tareas programadas para sobrevivir a reinicios: https://attack.mitre.org/techniques/T1053/.
La historia de KadNap ilustra dos tendencias que conviene tener en mente: por un lado, los atacantes amplían su alcance explotando dispositivos de consumo que no fueron concebidos con seguridad robusta; por otro, recurren a arquitecturas P2P y técnicas de ocultación para dificultar la interrupción de sus servicios. La combinación de dispositivos mal protegidos y negocios ilícitos que venden “acceso como servicio” crea un ecosistema donde el daño se escala rápidamente, y la respuesta requiere tanto medidas técnicas individuales como intervenciones coordinadas a nivel de red y de comunidad de seguridad.
Para quienes quieran profundizar en el análisis técnico y el seguimiento de este botnet, lo más prudente es consultar el análisis original de los investigadores que lo han documentado y las actualizaciones que publiquen las organizaciones de respuesta en seguridad. El trabajo de Black Lotus Labs ha sido la principal fuente pública sobre este incidente; su labor demuestra la utilidad de la investigación de amenazas para mapear tácticas, técnicas y procedimientos y para proveer listas de bloqueo que ayuden a frenar la proliferación.
En definitiva, la aparición de KadNap nos recuerda que la seguridad empieza en casa: mantener equipos actualizados, cambiar credenciales por defecto y aplicar buenas prácticas de segmentación y monitorización reducen considerablemente el riesgo de que nuestro router se convierta en una pieza más de una botnet.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...