Tu marco digital de fotos está al servicio de los hackers. Pero es improbable que te incluyan en las ganancias.
La botnet Kimwolf ya ha comprometido dos millones de dispositivos al desencadenar un "efecto dominó" en las redes Wi‑Fi domésticas.
Más de dos millones de dispositivos infectados en todo el mundo: esa es la estimación de la magnitud del nuevo botnet llamado Kimwolf publicó la empresa Synthient. Entre los países con el mayor número de infecciones están Vietnam, Brasil, India, Arabia Saudita, Rusia y Estados Unidos.
Los principales objetivos de los ataques resultaron ser los receptores de televisión basados en Android y los marcos digitales para fotos, muchos de los cuales se venden en grandes plataformas comerciales bajo marcas poco conocidas. La difusión del software malicioso está vinculada a vulnerabilidades en populares redes de proxies residenciales, en particular IPIDEA.
La magnitud de la amenaza la determinan no solo las tasas de infección, sino también la forma en que el malware penetra en las redes domésticas. Kimwolf utiliza redes de proxies, convirtiendo los dispositivos en un punto de entrada a la infraestructura interna del usuario.
El código malicioso a menudo viene preinstalado por el fabricante, o se introduce en los dispositivos en el momento de instalar aplicaciones de terceros ofrecidas como forma de eludir suscripciones a contenido de vídeo. Tras activarse, el malware convierte el dispositivo en un nodo proxy que se alquila a los atacantes. A través de él, los atacantes obtienen acceso a todos los demás dispositivos de la red, incluidos los que parecen estar aislados del mundo exterior.
Otro eslabón vulnerable son los microordenadores sin protección integrada, utilizados en la producción masiva de dispositivos Android económicos. Muchos de ellos se suministran con el modo de depuración ADB activado, lo que permite obtener acceso remoto a funciones del sistema sin ninguna autorización. Las investigaciones confirmaron que basta con un dispositivo con ADB activo y un teléfono infectado en la misma red para que el malware se propague a todos los demás nodos vulnerables —desde el marco digital hasta el reproductor multimedia.
Los especialistas de Synthient prestaron especial atención a los vínculos entre Kimwolf y la mayor red de proxies, IPIDEA. Según la empresa, el botnet utiliza la infraestructura de IPIDEA para propagarse, restaurando su número hasta dos millones de dispositivos infectados en tan solo unos días tras cada intento de mitigación. En respuesta a las notificaciones sobre los problemas, IPIDEA afirmó haber corregido las vulnerabilidades, incluido el cierre de un módulo de pruebas que permitía eludir la filtración y penetrar en redes locales.
Kimwolf mostró la mayor actividad en octubre y diciembre de 2025, infectando a cientos de miles de dispositivos en todo el mundo. Las investigaciones de la empresa china XLab confirmaron la presencia del botnet en más de 2,7 millones de direcciones IP, aunque resulta difícil estimar el número real de dispositivos infectados debido al cambio dinámico de direcciones y a las diferencias de huso horario.
Kimwolf sirve como plataforma para alojar aplicaciones maliciosas, vender ancho de banda y llevar a cabo ataques DDoS. Su arquitectura permite enmascarar con facilidad el tráfico que pasa por los dispositivos infectados y dirigirlo hacia direcciones IP internas, violando los principios básicos del aislamiento de red. Ese tipo de ataques puede causar no solo la infección de nuevos dispositivos, sino también el secuestro del control de los enrutadores y la modificación de la configuración DNS, lo que posibilita el redireccionamiento completo del tráfico del usuario.
La situación se agrava porque muchos usuarios compran dispositivos sin sospechar su potencial peligro. Los reproductores multimedia chinos y los marcos digitales para fotos se venden como una forma de acceder a contenido gratuito, pero en realidad se convierten en parte de redes maliciosas globales. Incluso si se puede reprogramar el firmware del dispositivo, para la mayoría de los compradores eso no es una tarea evidente.
Google anteriormente inició un proceso judicial contra los operadores de la red BadBox 2.0, que también utilizó dispositivos Android infectados para fraude y propagación de software malicioso. El FBI advirtió sobre infecciones masivas de dispositivos ya a mediados de 2025. El problema general es que la compromisión ocurre antes de que el dispositivo llegue al usuario —ya sea en el momento de la primera configuración.
Entre las medidas de protección potenciales están el uso de redes Wi‑Fi de invitados, la compra de dispositivos solo a fabricantes de confianza y la abstención total de instalar aplicaciones desde fuentes no oficiales. Sin embargo, ante el aumento del número de dispositivos infectados y la mejora de los métodos de acceso oculto a redes internas, incluso esas medidas no garantizan una protección completa.
Synthient ya publicó lista de modelos de dispositivos que con más frecuencia caen bajo el control de Kimwolf. La empresa subraya que la solución más fiable sigue siendo la extracción física de los dispositivos sospechosos de la red. Y esto no es solo una recomendación: en las condiciones de las amenazas actuales, es la medida mínima necesaria.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla