«Solo quería ganar un dinero extra» — un militar contó cómo vendió a su patria por cine gratis

La historia de DSLRoot sacudió a la comunidad de ciberseguridad cuando en Reddit apareció una publicación de un usuario bajo el nombre Sacapoopie, quien aseguró ser miembro de la Guardia Nacional de Estados Unidos con acceso a información clasificada. Según su relato, durante varios años ha recibido 250 dólares al mes de la empresa DSLRoot por mantener dos portátiles conectados a una línea DSL independiente en su casa. Afirmó que estos equipos estaban aislados de la red doméstica habitual, que su familia utiliza a través de Starlink.

Muchos participantes del debate reaccionaron con escepticismo, dudando de que alguien con una autorización de nivel TS/SCI aceptara instalar dispositivos sospechosos en su vivienda. Sin embargo, Sacapoopie insistió en que los equipos eran simples portátiles con software preinstalado, que abría varias ventanas de consola y establecía conexiones desconocidas. Aclaró además que conoció a la compañía hace unos cinco años a través de un anuncio en redes sociales y que desde entonces solo trataba con un “técnico” de DSLRoot para resolver problemas de conexión.

DSLRoot, en respuesta a las preguntas, aseguró que opera de manera transparente y que colabora con “agentes regionales” en EE. UU. que ofrecen voluntariamente sus conexiones de internet. Sus representantes afirmaron que supervisan la actividad y que prohíben cualquier uso ilegal de sus proxies. Añadieron que desconocían que se tratara de un militar y recalcaron que están dispuestos a trabajar con cualquier ciudadano estadounidense, ya sea una jubilada o un estudiante.

La empresa surgió en 2012 en foros como BlackHatWorld y se promocionaba como un servicio de “proxies residenciales” bajo las marcas DSLRoot y GlobalSolutions. Está registrada en las Bahamas, pero sus raíces se remontan a Europa del Este y Rusia. El modelo de negocio era sencillo: los residentes de Estados Unidos instalaban el equipo en sus casas a cambio de dinero, y clientes de otros países obtenían acceso a sus direcciones IP como si fueran proxies dedicados. El precio de alquiler rondaba los 190 dólares mensuales por acceso completo a todos los nodos de la red.

Investigaciones han revelado que detrás de DSLRoot están cuentas con una larga trayectoria en foros de “black hat SEO” y en servicios asociados. Entre las direcciones relacionadas figuran instantvirtualcreditcards[.]com, incorptoday[.]com, dslroot[.]com y decenas más, vinculadas a esquemas con tarjetas virtuales y creación de empresas ficticias en Estados Unidos. En algunos casos, estos servicios incluían la oferta de abrir cuentas bancarias minoristas en EE. UU. “sin hacer preguntas”.

El nombre que aparece conectado al proyecto es Andrey Kholas, originario de Bielorrusia y con pasado en Alabama y Moscú. Su fecha de nacimiento coincide con la indicada en perfiles de GlobalSolutions. Las cuentas asociadas a él en foros y redes sociales mencionaban problemas para obtener visados estadounidenses y su participación en distintos proyectos en línea.

DSLRoot también heredó las prácticas del antiguo “USProxyKing”, conocido en BlackHatWorld por sus esquemas de instalaciones pagadas de software malicioso. Este ofrecía dinero a cambio de distribuir adware que convertía los equipos infectados en proxies, para después vender el acceso a terceros. Así nacían los llamados “botnets legales”, redes de miles de máquinas cuyo tráfico era básicamente arrendado.

Con el tiempo el mercado cambió y la competencia de decenas de servicios similares redujo la actividad de DSLRoot. Según Infrawatch, hoy la red cuenta con menos de 300 nodos, en su mayoría en los proveedores CenturyLink y Frontier. El análisis de su instalador reveló que el software se conecta a proxysource[.]net, un sitio que promociona servicios para evadir restricciones de publicación de anuncios, por ejemplo en Craigslist. Además, el código es capaz de manipular routers de distintas marcas mediante contraseñas integradas y vulnerabilidades conocidas, así como escanear redes Wi-Fi cercanas.

A pesar de sus declaraciones de transparencia, los hechos muestran una relación prolongada de DSLRoot con foros clandestinos, sistemas de pago anónimos y mecanismos para saltarse limitaciones. El caso del usuario de Reddit evidenció que incluso personas con altos niveles de acceso pueden ignorar precauciones básicas en busca de un ingreso extra. Y estos “botnets legales” siguen siendo atractivos tanto para campañas de publicidad gris como para actores más peligrosos, incluidas agrupaciones APT que usan conexiones ajenas para llevar a cabo ataques y ocultar sus huellas.