Una operación coordinada entre agencias de Estados Unidos, Canadá y Alemania logró desmantelar la infraestructura de comando y control (C2) de algunas de las botnets IoT más grandes y activas del mundo: AISURU, Kimwolf, JackSkid y Mossad.

El operativo no fue solo estatal. Gigantes tecnológicos como Akamai, Amazon, Cloudflare, Google, Oracle y PayPal, entre otros, participaron activamente en la neutralización de la infraestructura criminal.

Ataques récord: más de 30 Tbps

Las botnets desarticuladas estaban detrás de algunos de los ataques DDoS más potentes jamás registrados. Se documentaron picos cercanos a los 30 Tbps y un ataque alcanzó los 31,4 Tbps, marcando un récord histórico.

Para ponerlo en perspectiva, este volumen de tráfico puede saturar incluso infraestructuras críticas de Internet y servicios de mitigación de alto nivel.

Además, estas redes generaron cientos de miles de ataques a nivel global, afectando tanto a empresas privadas como a infraestructuras sensibles.

Millones de dispositivos comprometidos

El tamaño de estas redes era realmente masivo. Contaban con más de 3 millones de dispositivos infectados en todo el mundo, incluyendo DVRs, cámaras, routers y dispositivos IoT domésticos. Un volumen significativo estaba ubicado en Estados Unidos.

En el caso de Kimwolf, el foco estuvo en dispositivos Android, especialmente televisores y TV boxes de bajo costo con firmware inseguro.

El patrón no es nuevo, pero sigue siendo efectivo. Los dispositivos baratos, mal configurados y nunca actualizados se convierten en “soldados silenciosos” de ataques globales.

Un modelo criminal industrializado

Estas botnets no solo eran usadas por sus creadores, si no que funcionaban bajo un modelo de “cibercrimen como servicio”. Los operadores lanzaban ataques propios o alquilaban la infraestructura a terceros. Incluso extorsionaban a víctimas con amenazas de DDoS.

En total, se estima que las cuatro redes emitieron más de 300.000 comandos de ataque:

• AISURU: ~200.000

• JackSkid: ~90.000

• Kimwolf: ~25.000

• Mossad: ~1.000

Kimwolf y el cambio de paradigma

Uno de los puntos más interesantes del caso es Kimwolf. A diferencia de botnets tradicionales basadas en escaneo de Internet, este malware adoptó un enfoque más sofisticado:

• Uso de redes de proxies residenciales

• Acceso a dispositivos dentro de redes domésticas

• Movimiento lateral en entornos que normalmente no son accesibles desde Internet

Esto rompe con la suposición clásica de que los routers domésticos aíslan suficientemente los dispositivos internos. En la práctica, Kimwolf logró convertir hogares enteros en nodos de ataque.

Identidades detrás de las botnet

La investigación también avanzó sobre posibles responsables. Un análisis independiente vinculó la operación de Kimwolf a un joven de 23 años en Canadá y un sospechoso de 15 años en Alemania. Hasta el momento, no se confirmaron arrestos formales, pero sí allanamientos y recolección de evidencia.

El problema no terminó

Aunque la operación logró desactivar la infraestructura C2, hay un punto incómodo que la industria ya conoce: este tipo de acciones no elimina la amenaza, solo la interrumpe temporalmente.

Las botnets modernas, muchas basadas en variantes de Mirai, son reutilizables, modulares y fáciles de replicar. De hecho, este mismo ecosistema ya ha demostrado que puede reconstruirse rápidamente tras cada caída.

Lo importante

Este caso deja tres conclusiones clave:

1. El IoT sigue siendo el eslabón más débil: dispositivos inseguros siguen alimentando ataques globales.

2. Los DDoS están en una nueva escala: ya no hablamos de gigabits, sino de decenas de terabits.

3. El modelo de negocio del cibercrimen está maduro: botnets operando como servicios, con clientes y monetización.

Y hay una más, quizás la más incómoda: Internet sigue creciendo más rápido que su seguridad.