Hace tiempo que la batalla entre defensores y atacantes en Internet dejó de ser solo cuestión de cerrar puertos o mantener parches al día. Ahora, una fuente de problemas que está pasando desapercibida para muchas organizaciones son las proxies residenciales: redes de direcciones IP que aparentemente pertenecen a hogares y que los delincuentes usan para camuflar actividad maliciosa. Un informe reciente de GreyNoise, basado en el análisis de miles de millones de sesiones, vuelve a poner el foco en lo duro que resulta para los sistemas de reputación de IP distinguir entre un usuario legítimo y un atacante que pasa por “una conexión doméstica”. Más información en el propio informe de GreyNoise: Invisible Army: Residential Proxy Abuse.
Los números del estudio son elocuentes: GreyNoise examinó un volumen enorme de sesiones dirigidas al borde de la red a lo largo de tres meses y encontró que alrededor del 39% de esa actividad procedía de rangos que parecen ser conexiones de hogar, es decir, proxies residenciales. Pero aquí viene lo inquietante: la mayoría de estas IPs no aparecen en los feeds de reputación tradicionales. En concreto, el estudio indica que un porcentaje elevado —del orden del 78% en el muestreo— permanece “invisible” para las listas que muchos equipos de seguridad usan para bloquear tráfico sospechoso.
¿Por qué sucede esto? La explicación es práctica y, por desgracia, eficaz para quienes atacan: las IPs residenciales utilizadas en estas operaciones suelen ser muy efímeras, usadas pocas veces y rápidamente sustituidas por otras. Esa rotación estructurada evita que los sistemas que dependen de historiales de abuso acumulado lleguen a catalogarlas como maliciosas antes de que ya se hayan usado y descartado. GreyNoise encontró que la inmensa mayoría de esas IPs residenciales asociadas a actividad maliciosa operan menos de un mes; solo una fracción mínima permanece en acción durante varios meses.
Además de la brevedad de estas conexiones, la diversidad geográfica y de proveedores complica aún más el problema. Las IPs observadas provenían de cientos de distintos proveedores de acceso a Internet —lo que dificulta bloquear por ASN sin dañar usuarios legítimos— y había concentraciones en países como China, India y Brasil. Un detalle curioso que respalda la idea de que muchas de esas IPs son realmente dispositivos personales o domésticos es que su actividad presenta un ritmo marcado por los patrones de sueño humano: el volumen baja significativamente durante la noche local, cuando la gente apaga sus equipos.
Otro factor que las hace sigilosas es el propósito principal de su uso. Los datos muestran que la mayor parte del tráfico procedente de estas direcciones está orientado a reconocimiento y escaneo de redes, no directamente a la ejecución de exploits. Solo un porcentaje ínfimo termina en intentos de explotación efectivos; sin embargo, ese trabajo preliminar de mapeo es lo que permite a los atacantes identificar objetivos válidos y diseñar ataques posteriores. Entre las actividades observadas hubo desde escaneos masivos hasta intentos de acceso a páginas de inicio de sesión de VPN empresariales y casos puntuales de relleno de credenciales o traversal de rutas.
La arquitectura que genera este tráfico tiene dos fuentes principales, según los investigadores: por un lado, botnets centradas en dispositivos IoT, que recompilan recursos de multitud de equipos domésticos comprometidos; por otro, equipos de usuarios infectados o enrolados mediante SDKs en aplicaciones gratuitas —como clientes VPN, bloqueadores de anuncios u otras utilidades— que, a cambio de servicios o monetización, convierten esos dispositivos en nodos que venden ancho de banda y sirven tráfico de terceros.
Un ejemplo práctico de la resiliencia del ecosistema es lo que ocurrió con una de las redes de proxies residenciales más grandes (referida en el informe). La intervención coordinada de equipos de inteligencia de amenazas consiguió reducir temporalmente su pool de direcciones en un porcentaje significativo, pero el espacio dejado se rellenó rápidamente con tráfico procedente de centros de datos u otras fuentes: la demanda se absorbe y la capacidad se restituye con rapidez. Esto ilustra que soluciones focalizadas en derribar una pieza aislada rara vez eliminan la amenaza de forma definitiva.
Frente a ese panorama, GreyNoise y expertos del sector proponen replantear la dependencia en las listas de reputación de IP como el pilar principal de la defensa. En su lugar, plantean centrar la detección en patrones de comportamiento que sobrevivan a la rotación de direcciones: por ejemplo, identificar secuencias de sondeos que siguen el mismo patrón aunque provengan de IPs distintas, bloquear protocolos claramente inapropiados para espacios ISP (como exponer SMB a Internet), y recopilar huellas de dispositivo o de conexión que no cambien cuando la IP lo hace.
Para equipos de seguridad y responsables TI esto implica varias consecuencias prácticas. No se trata de eliminar por completo el uso de listas de reputación —siguen siendo útiles—, sino de combinarlas con análisis de telemetría, correlación temporal y heurísticas de comportamiento que permitan detectar un mismo actor a pesar de la rotación de IPs. También es imprescindible proteger los puntos de entrada críticos, aplicar autenticación fuerte y monitorizar accesos fallidos o patrones de sondeo inusuales. En palabras sencillas: hay que mirar menos a la etiqueta (la IP) y más a la conducta.
El reto técnico y operativo es relevante: monitorizar y correlacionar grandes volúmenes de eventos, extraer señales robustas sin generar falsos positivos y, al mismo tiempo, no interrumpir la experiencia de usuarios legítimos. Herramientas como firewalls de aplicaciones web con capacidades de detección basada en comportamiento, sistemas de prevención de intrusiones que integren telemetría de red y mecanismos de fingerprinting avanzados ganan protagonismo en este contexto. Para quienes quieran entender mejor la lógica del problema y cómo se clasifican los bots y el tráfico automatizado, es útil leer análisis divulgativos como el de Cloudflare sobre qué es un bot y por qué no todos se comportan igual: What is a bot? (Cloudflare).
Si algo deja claro el informe de GreyNoise y la cobertura que está recibiendo es que la economía y la técnica detrás de las proxies residenciales evolucionan más rápido que muchas defensas tradicionales. No basta ya con bloquear direcciones sospechosas: hace falta una visión más holística, donde la observación del comportamiento, la cooperación entre proveedores de inteligencia y la implementación de controles de acceso fuertes marquen la diferencia. Para quien quiera consultar los datos originales y las recomendaciones técnicas, el informe completo de GreyNoise está disponible aquí: Invisible Army: Residential Proxy Abuse, y la prensa especializada ha recogido los hallazgos, por ejemplo en Bleeping Computer.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...