Red botnet Popa: FBI y Google desmantelan la red NetNut

Contenido del artículo
El 3 de julio de 2026 quedará marcado como un hito crucial en la historia contemporánea de la ciberseguridad. En una operación internacional de enorme envergadura coordinada por el Buró Federal de Investigaciones (FBI) de los Estados Unidos y el Grupo de Análisis de Amenazas de Google (GTIG), se ejecutó un golpe demoledor contra “NetNut”, uno de los proveedores comerciales de proxies residenciales más grandes del planeta. Esta gigantesca infraestructura clandestina, también identificada y monitoreada por los analistas técnicos bajo el nombre de la red botnet Popa, controlaba una botnet activa de más de dos millones de dispositivos comprometidos en todo el mundo. El desmantelamiento de esta organización, llevado a cabo en colaboración estrecha con Lumen Technologies, la Shadowserver Foundation y la división de Investigación Criminal del Servicio de Impuestos Internos (IRS-CI) de EE. UU., culminó con la incautación de cientos de dominios web y el reemplazo del portal principal (netnut.com) por un banner oficial de confiscación judicial.
A diferencia de las botnets convencionales operadas por sindicatos criminales ocultos en la “dark web”, NetNut operaba a plena luz del día bajo una fachada corporativa legítima. La empresa comercializaba el acceso a direcciones IP de hogares reales bajo la premisa de facilitar la extracción ética de datos web, estudios de mercado y optimización de motores de búsqueda. Sin embargo, las investigaciones técnicas demostraron que esta inmensa red de “nodos de salida” se alimentaba de forma fraudulenta y sin el consentimiento de los usuarios, sirviendo como un canal de anonimato perfecto para que actores de amenazas de nivel estatal y ciberdelincuentes comunes evadieran los controles de seguridad perimetral a escala global.
La anatomía técnica de la red botnet Popa: De SDKs engañosos a puertos vulnerados
Para comprender la magnitud de la amenaza que representaba la red botnet Popa, es necesario analizar el vector de infección y propagación que le permitió capturar millones de dispositivos. Las investigaciones forenses revelaron que la red no dependía de un único software malicioso tradicional, sino de una sofisticada estrategia de distribución híbrida que apuntaba principalmente a hardware de consumo basado en Android, como televisores inteligentes (Smart TVs), decodificadores de streaming (TV boxes) de bajo costo y enrutadores domésticos.
La red botnet Popa expandió su alcance global mediante tres tácticas principales:
- Kits de desarrollo de software (SDK) engañosos: Los operadores de NetNut camuflaban su código dentro de aplicaciones de “proxyware” o herramientas que prometían a los usuarios compartir su ancho de banda no utilizado a cambio de recompensas económicas. Estos SDK se integraban también en versiones modificadas y no oficiales de aplicaciones populares, como el cliente alternativo SmartTube para Android TV, ocultando las funciones de proxy en los términos de servicio o evadiendo por completo el consentimiento del usuario.
- Dispositivos inteligentes pre-comprometidos: A través de canales de distribución de mercado gris, se comercializaban dispositivos de streaming y hardware IoT de marcas genéricas que salían de fábrica con firmware alterado o troyanizado. Al momento de ser conectados a la red por el comprador, estos aparatos se comunicaban inmediatamente con el backend de NetNut para registrarse como nodos de salida activos.
- Vulneración activa del puerto 5555 (ADB): De acuerdo con investigaciones publicadas por la firma de ciberseguridad Synthient, el puerto TCP 5555, correspondiente al Android Debug Bridge (ADB), representaba el tercer puerto con mayor tráfico de salida en la red botnet Popa, superado únicamente por el tráfico web estándar HTTP (puerto 80) y HTTPS (puerto 443). Muchos dispositivos de streaming baratos exponen este puerto de depuración a internet sin ningún tipo de autenticación, lo que permitió a los atacantes conectarse de forma remota, inyectar el agente proxy de NetNut y asegurar la persistencia en el sistema.
Los investigadores también identificaron que la infraestructura de Popa funcionaba en estrecha relación como un componente adicional de la botnet Vo1d, una campaña masiva de malware diseñada específicamente para tomar el control de dispositivos Android TV y establecer túneles de comunicación cifrados de larga duración que se activaban bajo demanda.
El abuso sistemático de las IPs residenciales: El escudo perfecto para el cibercrimen
El valor de un proxy residencial radica en su capacidad para imitar el comportamiento de un usuario doméstico legítimo. La mayoría de las herramientas de defensa corporativa, como los firewalls de aplicaciones web (WAF) y los sistemas de prevención de intrusiones (IPS), bloquean de manera automática el tráfico que proviene de centros de datos conocidos (como AWS, Azure o DigitalOcean) cuando detectan patrones sospechosos. Sin embargo, bloquear el tráfico residencial de proveedores de servicios de internet (ISP) convencionales es sumamente peligroso para las empresas, ya que puede resultar en tasas inaceptables de falsos positivos, impidiendo el acceso a clientes reales.
Esta vulnerabilidad estructural fue explotada masivamente a través de NetNut. Google reveló datos alarmantes: durante una sola semana en junio de 2026, el Grupo de Análisis de Amenazas de la compañía detectó al menos 316 grupos de amenazas distintos que canalizaban sus ataques a través de los nodos de salida provistos por NetNut.
Los ciberdelincuentes y los grupos de espionaje respaldados por Estados nación utilizaron esta red para llevar a cabo actividades altamente dañinas:
- Campañas de “password-spraying” y relleno de credenciales (Credential Stuffing): Al rotar constantemente entre millones de direcciones IP domésticas limpias de la red botnet Popa, los atacantes lograban probar miles de combinaciones de contraseñas contra portales corporativos sin activar los umbrales de bloqueo por IP que normalmente detendrían estos ataques automáticos.
- Fraude publicitario a gran escala: Generación de clics y visualizaciones artificiales simulando tráfico proveniente de hogares legítimos, desviando presupuestos publicitarios de millones de dólares hacia redes fraudulentas.
- Ataques de denegación de servicio distribuido (DDoS): Aunque Popa operaba principalmente como una red de retransmisión silenciosa, la capacidad de coordinar peticiones masivas desde millones de terminales residenciales permitía saturar servidores web objetivo simulando picos de tráfico orgánico imposibles de filtrar.
- Pivoteo e intrusión en redes locales: Uno de los hallazgos más alarmantes para los equipos de seguridad fue que el malware instalado en los televisores y routers no solo abría un canal hacia el exterior, sino que proporcionaba a los atacantes un puente de acceso directo hacia la red de área local (LAN) del usuario. Desde este dispositivo comprometido, un atacante sofisticado podía escanear la red doméstica, interceptar tráfico interno y atacar computadoras personales, servidores NAS o dispositivos de almacenamiento conectados a la misma red.
El laberinto corporativo detrás de Alarum Technologies
Lo que diferencia drásticamente a NetNut de otras botnets tradicionales es su indiscutible vinculación con una entidad corporativa regulada. NetNut Ltd. es una subsidiaria propiedad de Alarum Technologies Ltd., una compañía tecnológica israelí cuyas acciones cotizan públicamente en la bolsa de valores NASDAQ bajo el símbolo “ALAR”.
A mediados de junio de 2026, un consorcio de firmas de ciberseguridad y organizaciones de investigación, incluyendo a Qurium, Synthient, Nokia Deepfield y Spur, publicó informes técnicos independientes que conectaban de forma directa las direcciones IP asociadas a la red botnet Popa con el inventario de proxies residenciales comercializado por NetNut. Esta investigación demostró que NetNut no solo controlaba directamente esta botnet para nutrir su propio portafolio de IPs, sino que también operaba un lucrativo programa de revendedores de marca blanca (white-label). Gracias a este esquema, otras marcas reconocidas en el mercado de proxies empaquetaban y revendían en secreto el acceso a la infraestructura pirateada de Popa.
Tras la intervención del FBI el 2 de julio de 2026, Alarum Technologies emitió comunicados de prensa dirigidos a sus inversionistas donde admitía la incautación de múltiples de sus dominios por parte de las autoridades estadounidenses. Aunque la empresa declaró públicamente su intención de cooperar plenamente con las fuerzas del orden y alegó que investigaría si terceros habían abusado de su infraestructura, el impacto en su negocio fue devastador y repentino. La interrupción de sus servicios clave provocó un desplome inmediato de sus acciones en la bolsa de valores, forzando a la empresa a advertir que el incidente tendría efectos materiales adversos y duraderos en sus resultados financieros y operativos. En paralelo, reportes de prensa confirmaron que el FBI mantiene una investigación criminal abierta para determinar si la firma participó directamente en la conexión forzada de los dispositivos de consumo sin el consentimiento de sus dueños.
La estrategia de mitigación y el futuro de la defensa
La neutralización de NetNut requirió una acción quirúrgica y simultánea en múltiples frentes digitales para desarmar la estructura de soporte del negocio y liberar los millones de dispositivos infectados. El esfuerzo coordinado de la coalición internacional se centró en cuatro pilares de mitigación indispensables:
- Inhabilitación de cuentas de Command and Control (C2): Google bloqueó sistemáticamente todas las cuentas y servicios en la nube utilizados por los administradores de NetNut para gestionar la base de datos de control y emitir órdenes a los dispositivos infectados.
- Despliegue masivo de Google Play Protect: El sistema de seguridad nativo de Android fue actualizado para identificar de forma activa las firmas de los SDK de NetNut. Play Protect comenzó a advertir automáticamente a los usuarios de teléfonos y televisores inteligentes Android sobre la presencia de software peligroso, procediendo a deshabilitar las aplicaciones troyanizadas para cortar de inmediato el flujo de tráfico proxy.
- Secuestro de dominios de infraestructura: La acción judicial liderada por el FBI y el IRS-CI bloqueó el acceso a cientos de dominios que servían como servidores de resolución de nombres y puntos de retransmisión intermedios, redirigiendo el tráfico hacia servidores controlados por el gobierno estadounidense.
- Diseminación de inteligencia técnica global: Los equipos de investigación distribuyeron indicadores de compromiso (IoC) detallados, firmas del SDK de NetNut y registros de tráfico anómalo a proveedores de servicios de telecomunicaciones, fabricantes de hardware y agencias de seguridad mundiales para prevenir que la infraestructura sea reconstruida bajo un nuevo nombre.
Aunque la caída de NetNut y la degradación de la red botnet Popa representan una victoria histórica para la comunidad de ciberseguridad, los expertos advierten que el ecosistema de proxies residenciales es altamente resiliente. La experiencia obtenida tras el desmantelamiento de la red IPIDEA a principios de 2026 demuestra que, cuando un gran proveedor cae, los operadores supervivientes o nuevos actores del mercado negro se apresuran a comprar la base de dispositivos huérfanos o a lanzar nuevas aplicaciones engañosas para reconstruir sus inventarios. Para proteger el ecosistema digital a largo plazo, la industria de la tecnología y los consumidores deben exigir mayor transparencia en las cadenas de suministro de hardware de bajo costo y auditorías rigurosas a las aplicaciones de compartición de ancho de banda, erradicando las sombras donde operan estas redes clandestinas.
Escrito por
TempMail Ninja
Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.


