Control total sin hackear ni escribir código: el tiempo se convierte en exploit y la sincronización, en método para eludir las defensas.
Ciberdelincuentes eluden la autenticación aprovechando únicamente pequeñas diferencias en el tiempo de respuesta del servidor.
Desde principios de octubre, los especialistas de GreyNoise registraron una de las campañas de ataque a servicios de acceso remoto más extensas y coordinadas en Estados Unidos. Según sus datos, desde el 8 de octubre de 2025 más de 100 000 direcciones IP únicas de una centena de países participan en una campaña automatizada contra la infraestructura Protocolo de Escritorio Remoto (RDP). Todos los nodos implicados muestran signos de red similares, lo que indica un control centralizado del botnet.
Los primeros indicios de actividad se detectaron por un aumento de tráfico desde Brasil, tras lo cual el análisis reveló aumentos similares en Argentina, Irán, China, México, Sudáfrica y varios otros países. Al mismo tiempo, la gran mayoría de los ataques se dirige exclusivamente a servidores estadounidenses, lo que hace que la campaña esté altamente focalizada y técnicamente coordinada.
Según GreyNoise, los operadores del botnet emplean dos métodos — RD Web Access Timing Attack y RDP Web Client Login Enumeration. En el primer caso, los atacantes analizan las diferencias en el tiempo de respuesta durante la autenticación anónima para extraer información sobre la existencia de cuentas. En el segundo, realizan un barrido masivo de nombres de usuario en el cliente web de RDP para identificar usuarios activos. Ambos enfoques están destinados a preparar ataques de fuerza bruta de contraseñas y la intrusión en sistemas, sin limitar la campaña geográficamente.
Los investigadores señalaron que casi todo el tráfico comparte la misma huella TCP, diferenciándose únicamente por el parámetro MSS, que depende del clúster concreto de dispositivos infectados. Esto apunta al uso de un componente de software unificado y a un mecanismo de activación centralizado que gestiona la distribución de carga entre países y franjas horarias. Por tanto, no se trata de exploraciones esporádicas, sino de una infraestructura completamente gestionada que opera como una sola red.
El análisis confirma que cada IP participó en un intercambio de tres vías completo con los nodos objetivo, lo que descarta conexiones accidentales o falsos positivos. Lo más probable es que los hosts infectados formen parte de un botnet con geografía multinacional y coordinación a través de un centro de mando común. El paso de actividad de segmentos aislados a una distribución global del tráfico se produjo en cuestión de días, lo que indica un escenario preparado con antelación.
GreyNoise recomienda a los administradores revisar detenidamente los registros de eventos en busca de conexiones RDP anómalas y solicitudes de autenticación anónima. Además, la empresa aconseja supervisar las etiquetas Microsoft RD Web Access Anonymous Authentication Timing Attack Scanner y Microsoft RDP Web Client Login Enumeration Check, que están relacionadas con esta campaña.
La situación sigue en evolución. A medida que lleguen nuevos datos, GreyNoise se compromete a publicar actualizaciones y firmas refinadas que permitan identificar con mayor precisión los nodos implicados y minimizar el riesgo de compromiso de sistemas corporativos.
Las huellas digitales son tu debilidad, y los hackers lo saben