Mientras dormías, tu televisor intentó hackear un banco: qué es Kimwolf y por qué nos afecta a todos

Se introdujo sigilosamente en hogares, oficinas e incluso redes gubernamentales, y ahora controla millones de dispositivos en todo el mundo. El nuevo botnet de IoT llamado Kimwolf ya ha infectado más de 2 millones de dispositivos, convirtiéndolos en un ejército para ataques DDoS y para redirigir tráfico malicioso en Internet. Pero lo más alarmante es otra cosa: el botnet puede escanear las redes locales de los dispositivos infectados y propagarse a todo lo que encuentre, lo que lo hace especialmente peligroso para las organizaciones y la infraestructura corporativa.

Kimwolf comenzó a crecer rápidamente a finales de 2025, utilizando tácticas no convencionales. Sus operadores aprendieron a usar los llamados "servicios de proxy residenciales", que normalmente se venden como herramienta de anonimato y para cambiar la geolocalización del tráfico de Internet. Estos servicios permiten enrutar la conexión a través de dispositivos de usuarios comunes en cualquier país y ciudad.

El software malicioso que convierte un teléfono inteligente, un decodificador de TV o una computadora en un nodo proxy a menudo se integra de forma silenciosa en aplicaciones móviles y juegos. Como resultado, el dispositivo infectado empieza a reenviar tráfico ajeno, participar en fraudes publicitarios, intentos de hackeo de cuentas y en el raspado masivo de sitios web.

El objetivo principal de Kimwolf se convirtió en el servicio proxy chino IPIDEA, que cuenta con millones de nodos proxy activos cada semana. Los atacantes descubrieron que a través de esos nodos no solo podían transmitir comandos, sino también penetrar en las redes locales internas, para a continuación buscar automáticamente dispositivos vulnerables e infectarlos.

En la mayoría de los casos los afectados fueron receptores Android TV no oficiales para streaming, que a menudo se venden como dispositivos "universales" para ver contenido pirata. Estos receptores suelen funcionar con Android Open Source Project (AOSP), no tienen un sistema de protección y autenticación adecuado y, en algunos casos, ya incluyen software proxy instalado de fábrica. Si tienen acceso de red directo, infectarlos con malware no resulta difícil.

Aunque IPIDEA y otros servicios ya empezaron a bloquear estos ataques, millones de dispositivos siguen infectados. Al principio parecía que el problema afectaba principalmente a usuarios domésticos, pero la realidad ha resultado ser mucho más seria. Según datos de la empresa Infoblox, casi el 25% de sus clientes corporativos registraron desde octubre de 2025 accesos a dominios relacionados con Kimwolf. Esto significa que al menos un dispositivo en sus redes se estaba usando como nodo proxy, a través del cual el botnet intentaba escanear la infraestructura local en busca de nuevas víctimas.

Las investigaciones muestran que las infecciones se dan en diversos sectores: desde educación y medicina hasta organizaciones financieras y entidades gubernamentales. La startup Synthient descubrió decenas de miles de esos nodos proxy en universidades y colegios de todo el mundo, así como miles de direcciones dentro de redes de instituciones estatales de distintos países. Los analistas del servicio Spur fueron más allá y detectaron cientos de redes infectadas pertenecientes a organismos gubernamentales, servicios públicos, hospitales y bancos.

Kimwolf ilustra claramente cómo un único decodificador de TV, teléfono o portátil infectado puede convertirse en punto de entrada para un ataque a toda la red corporativa. Los proxies residenciales se transforman en una herramienta de inteligencia conveniente, que permite a los atacantes, literalmente desde dentro, estudiar la infraestructura local de las organizaciones y buscar dispositivos vulnerables. En un contexto en el que en oficinas e instituciones cada vez se usan más dispositivos no certificados y aparatos inteligentes sin protección adecuada, estos botnets dejan de ser una rareza y se convierten en una amenaza real para la seguridad de sectores enteros.