La ciberdelincuencia alcanza un nuevo nivel: ahora tus dispositivos son, literalmente, los culpables.

Se ha detectado en la red una de las redes maliciosas más potentes de los últimos años. Según el informe de Cloudflare, la unión de los botnets «Aisuru» y «Kimwolf» convirtió millones de dispositivos comunes en una herramienta para ataques de red destructivos y ya ha registrado cargas récord en la infraestructura de Internet.

Se trata de una botnet de gran tamaño, es decir, de un conjunto de dispositivos infectados que obedecen en secreto las órdenes de los atacantes. Según los investigadores, en la alianza Aisuru-Kimwolf participan entre uno y cuatro millones de nodos. Son dispositivos inteligentes domésticos, grabadores DVR, equipos de red, servidores virtuales y set-top boxes basados en Android. Todos se utilizan para ataques distribuidos de denegación de servicio, cuando una avalancha de peticiones colapsa un sitio o servicio y deja de responder a usuarios legítimos.

Esta red fue responsable de una serie de ataques récord por volumen de tráfico. Se registraron picos de más de 30 terabits por segundo y decenas de miles de millones de paquetes por segundo. Se emplean esquemas complejos de sobrecarga a través del sistema de nombres de dominio y ataques a servicios web con cientos de millones de peticiones por segundo. Con frecuencia se aplica la táctica «golpear y huir», cuando el flujo aparece casi de forma instantánea, dura segundos o minutos y desaparece. Entre 2025 y 2026 la potencia potencial de los ataques de esta red creció más de un 700%.

Aisuru actúa como plataforma base. Infecta diversos dispositivos, especialmente en el segmento del Internet de las cosas, y sirve de fundamento para otras variantes de malware. Kimwolf se considera una escisión orientada a dispositivos Android. Principalmente son set-top boxes, reproductores multimedia y teléfonos inteligentes. En el mundo hay alrededor de dos millones de dispositivos infectados con Kimwolf, con especial concentración en Vietnam, Brasil, India y Arabia Saudita. Además de ataques de red, se emplean para intentar obtener contraseñas y para la instalación oculta de aplicaciones.

Ambas partes de la infraestructura también generan ingresos para sus operadores. Los dispositivos infectados se transforman en los llamados «proxies domésticos». A través de ellos se enruta tráfico ajeno para ocultar la fuente real de los ataques y la recolección masiva de datos de sitios web. El acceso a estos nodos se vende mediante canales en servicios de mensajería y comunidades. El precio de los servicios oscila entre decenas y miles de dólares según la potencia y la duración del ataque.

La particularidad de esta botnet no es solo la escala, sino también la geografía. Una parte significativa de los dispositivos infectados se encuentra en Estados Unidos. Por ello el tráfico malicioso resulta más difícil de distinguir del flujo normal de usuarios. Además, los operadores procuran no afectar recursos estatales y militares, lo que puede reducir el interés de las autoridades en perseguirlos. Aun así, incluso picos breves de actividad pueden provocar fallos en los proveedores de Internet y en sus clientes.

La propagación ocurre debido a dispositivos vulnerables. Se aprovechan contraseñas por defecto, firmware obsoleto, fallos en el software de enrutadores y servicios abiertos de gestión remota para Android. Algunos set-top boxes baratos ya incluyen módulos proxy integrados, lo que facilita la infección. También se emplean vulnerabilidades hasta entonces desconocidas, para las cuales no hay protección hasta que se publiquen actualizaciones.

Los expertos señalan que el crecimiento de Aisuru-Kimwolf marca una nueva etapa en la evolución del cibercrimen. Los atacantes apuestan no solo por comprometer usuarios individuales, sino por el uso masivo de dispositivos domésticos y redes de proxies para crear plataformas de ataque de gran potencia. Esto convierte incluso los ataques breves en una amenaza seria para grandes servicios en línea y la infraestructura de red.