Deja de alquilar tu router a delincuentes: por qué el “ingreso pasivo” en Internet casi siempre implica un delito
Google Play Protect ha comenzado a eliminar automáticamente las aplicaciones que contienen el código malicioso IPIDEA.
Millones de propietarios de dispositivos comunes en todo el mundo pudieron trabajar para ciberdelincuentes durante años sin saberlo. Google anunció una operación a gran escala para desmantelar una de las mayores redes del mundo de las llamadas "proxy residenciales" llamada IPIDEA, que, según la compañía, se empleaba para espionaje, intrusiones, estafas y otras operaciones delictivas.
Se trata de una infraestructura oculta en la que se involucraban en secreto teléfonos inteligentes, ordenadores, decodificadores de televisión y otros dispositivos de usuarios comunes. Un software especial los convertía imperceptiblemente en nodos de la red, a través de los cuales los atacantes redirigían su tráfico, ocultando las fuentes reales de los ataques tras direcciones IP domésticas "normales". Esas direcciones pertenecen a proveedores de internet y se perciben como legítimas, por lo que son más difíciles de bloquear y rastrear. Esquemas similares ya se habían detectado antes: por ejemplo, botnet 911 S5 utilizó una táctica análoga para crear una red de proxy residenciales.
La operación para desmantelar la red fue liderada por el equipo de ciberinteligencia de Google con la participación de otras divisiones de la compañía y socios externos. Se presentaron demandas judiciales para cerrar los dominios que gestionaban la red, y también se facilitó información técnica a las fuerzas del orden, a organizaciones de investigación y a plataformas. Se adoptaron medidas específicas relacionadas con Android: la función de seguridad Google Play Protect empezó a eliminar automáticamente las aplicaciones que contenían módulos maliciosos de IPIDEA y a bloquear su reinstalación.
Según la estimación de Google, como resultado de estas acciones la red perdió millones de dispositivos y su infraestructura y operaciones comerciales quedaron seriamente debilitadas. Esto supuso un golpe no solo para IPIDEA, sino también para los socios y intermediarios vinculados que se beneficiaban de la base común de dispositivos infectados.
El núcleo del esquema es sencillo y peligroso. El usuario instala una aplicación, juego, utilidad o programa de red sin sospechar que en su interior está integrado un módulo de software especial. Ese módulo conecta el dispositivo a la red proxy de forma silenciosa, tras lo cual la conexión a internet pasa a ser utilizada por terceros. A veces se atrae a las personas con promesas de "ganancias con internet libre" o "monetización del tráfico no utilizado", pero con mayor frecuencia todo ocurre de forma oculta y sin consentimiento expreso.
Según los investigadores, la infraestructura IPIDEA fue utilizada por cientos de grupos en todo el mundo. Solo en una semana de enero de 2026 se registraron más de 550 grupos delictivos y de espionaje independientes que enmascaraban su actividad a través de esta red. Entre ellos había estructuras vinculadas con China, Corea del Norte, Irán y Rusia. A través de esos proxies se llevaron a cabo ataques contra servicios corporativos, intentos de descifrado de contraseñas y accesos a redes internas de organizaciones. Más información sobre la actividad de grupos APT puede encontrarse en estudios de expertos en ciberseguridad.
El peligro también afecta a los propios usuarios cuyos dispositivos se convierten en "puntos de salida" para el tráfico ajeno. De hecho, su conexión a internet se usa como plataforma de lanzamiento para ataques, lo que puede provocar bloqueos, sospechas por parte de servicios y proveedores, y también riesgo de intrusión en la red doméstica. En varios casos, el tráfico no solo pasaba por el dispositivo, sino que se dirigía hacia él, lo que permitía a los atacantes intentar comprometer el propio sistema.
Google también determinó que, bajo distintos nombres de servicios proxy y servicios VPN, se ocultaba la misma infraestructura IPIDEA. Formalmente parecía haber diferentes marcas y compañías independientes, pero el análisis técnico mostró que compartían gestión, servidores y módulos de software.
La compañía subraya que el mercado de "proxy residenciales" se ha convertido en una zona gris de la economía digital, que se disfraza de negocio legítimo pero en la práctica sirve de cobertura para la ciberdelincuencia y el espionaje. Se insta a los usuarios a ser cautelosos con las aplicaciones que ofrecen dinero por "compartir internet", a instalar programas solo desde tiendas oficiales, a revisar detenidamente los permisos y a no confiar en servicios VPN dudosos ni en herramientas de red "gratuitas".
En Google señalan que el desmantelamiento de IPIDEA supuso un golpe importante para esta industria, pero el problema no ha desaparecido. Redes similares continúan creciendo, por lo que la lucha contra ellas requerirá acciones conjuntas de empresas tecnológicas, plataformas, proveedores y autoridades. Anteriormente se registraron amenazas similares en el segmento de decodificadores de televisión, que en masa se convertían en nodos de botnets.