Compró un TV Box en rebajas y acabó sirviendo de proxy para un hacker. El ciberpunk que nos merecemos.
Cómo millones de usuarios acabaron siendo cómplices involuntarios de la estafa global IPCola
El lanzamiento del servicio IPCola en foros clandestinos en 2023 parecía otra aparición de una plataforma para la venta de proxies, sin embargo los volúmenes de direcciones anunciados y el origen del tráfico llevaron rápidamente la investigación de Synthient Research a un esquema más enrevesado. Como resultado se descubrió que el recurso está relacionado con una red recopilada a partir de aplicaciones y dispositivos de terceros, donde el tráfico de los usuarios se convierte en fuente de ingresos sin su conocimiento.
IPCola opera sin verificación de identidad, ofrece pago en criptomoneda y da acceso a un amplio conjunto de proxies. El elemento clave de la infraestructura no resultó ser la propia plataforma, sino los dominios a los que apuntan sus registros técnicos. El análisis de la retroalimentación de direcciones IP condujo a los especialistas hacia el recurso Gaganode, que promociona la monetización descentralizada del ancho de banda. La similitud visual entre las interfaces de ambas plataformas y las relaciones entre dominios reforzaron las sospechas de una estrecha conexión.
Gaganode proporciona a los editores herramientas para integrar su módulo prácticamente en cualquier aplicación, incluidos dispositivos basados en Android y decodificadores de TV económicos. Tras la instalación, el módulo puede recibir y redirigir tráfico, y los administradores de la red pueden enviar instrucciones remotas a los equipos. Según la estimación de Synthient Research, dicha funcionalidad convierte de hecho a los nodos conectados en una red controlada, lo que recuerda más a un control malicioso que a un mecanismo comercial de proxies.
El módulo de Gaganode se ha detectado en el software preinstalado de algunas cajas de TV de fabricación china, donde coexiste con otras herramientas de monetización oculta. Paralelamente, aparece en versiones antiguas de aplicaciones gratuitas para Windows y en sitios con software pirateado. Ese esquema ayuda a expandir rápidamente la red de nodos, incluso si el tiempo de actividad de dispositivos individuales no es muy largo.
Un interés particular suscitó la coincidencia de registros de dominio de IPCola con el servicio InstaIP, orientado a la audiencia china. Combinado con la falta de verificación de usuarios y la promoción activa en foros grises, esto sugiere que IPCola fue creado como una vitrina externa para compradores en el extranjero. Synthient Research afirma con seguridad que ambos servicios están vinculados a la empresa china NuoChen Technology, que ofrece servicios de tránsito de tráfico y utiliza su infraestructura de forma muy amplia.
Según Synthient Research, en una semana IPCola genera alrededor de 1,6 millones de direcciones IP únicas, muchas de las cuales pertenecen a dispositivos en India, Brasil y países de Sudamérica. Las intersecciones entre los pools de distintas plataformas de proxies muestran que en una sola aplicación pueden operar simultáneamente varios módulos integrados, intensificando la mezcla de redes y diluyendo aún más su origen. La historia de IPCola demuestra hasta qué punto el mercado de proxies puede depender de métodos opacos para formar pools de direcciones.