Google interrumpe la mayor red proxy residencial del mundo

La operación de desconexión realizada recientemente implicó la eliminación de los dominios desde los cuales se gestionaba el control de dispositivos infectados y la recopilación de información técnica de los kits de desarrollo de software (SDK), paso relevante para fortalecer la detección y el bloqueo automático a través de Google Play Protect. Así lo informó Google en un comunicado en el que se describen las medidas adoptadas para hacer frente a la mayor red proxy residencial identificada hasta la fecha, conocida por vincularse a la compañía IPIDEA. El reporte agrega que la compañía implementó estas acciones con el apoyo de socios de la industria de la ciberseguridad, con el fin de limitar la proliferación y el impacto de las actividades ilícitas llevadas a cabo mediante esta infraestructura.

Según detalló Google en este informe, la red proxy residencial investigada canalizaba el tráfico web a través de direcciones IP de usuarios domésticos y pequeñas empresas, valiéndose de dispositivos previamente comprometidos. Estos equipos, conectados a Internet sin el conocimiento de sus dueños, quedaron integrados en una red global mediante la infección con aplicaciones troyanizadas distribuidas fuera de los canales oficiales. De acuerdo con la información publicada por Google, al menos 600 aplicaciones fraudulentas para Android ofrecían servicios de VPN y proxy gratuitos, las cuales resultaron ser el vector principal de infección que permitió a los operadores transformar millones de dispositivos en nodos proxy.

El medio utilizado para expandir esta red fue la distribución masiva de estas aplicaciones troyanizadas entre usuarios de todo el mundo; una vez instalado el software, los equipos afectados quedaban expuestos al tráfico enrutado desde la red criminal. Según datos de Google Threat Intelligence Group, la infraestructura estaba al servicio de unos 550 grupos de actores maliciosos. Estos actores aprovecharon el acceso para camuflar su actividad entre el tráfico legítimo, realizando acciones como la apropiación de cuentas, la creación de identidades digitales falsas, el robo de credenciales y la transferencia no autorizada de información confidencial.

Según consignó Google, la red, considerada la mayor de su tipo, estaba sustentada por un sistema de comando y control (C2) compuesto por aproximadamente 7.400 servidores repartidos globalmente. Los operadores de esta infraestructura emplearon los dispositivos comprometidos para llevar a cabo diversos ataques digitales, entre ellos campañas de denegación de servicio distribuido (DDoS), operaciones de exfiltración de datos sensibles de las víctimas y otros delitos relacionados con la suplantación de identidades y la manipulación de cuentas.

La interrupción de los dominios de control y la integración de los datos técnicos de los SDK en Google Play Protect se orientaron a elevar los estándares de protección de los usuarios, bloqueando de forma automática futuros intentos de infección y actividad sospechosa derivada de la red IPIDEA. Según explicó Google en el comunicado recogido por la prensa, estas acciones forman parte de una estrategia más amplia de colaboración con el sector tecnológico y de inteligencia para reducir el alcance y el impacto de las redes proxy fraudulentas.

De acuerdo con el reporte citado por Google, el diseño de esta red permitía a los ciberdelincuentes mezclar su tráfico criminal con el de usuarios cotidianos, complicando la detección de las actividades ilícitas. Las aplicaciones que operaban como vector de infección parecían ofrecer servicios gratuitos atractivos, pero convertían a los dispositivos en parte de una red de nodos proxy, facilitando la evasión de controles de seguridad por parte de quienes operaban en el anonimato.

Google detalló que el volumen de dispositivos afectados y la amplitud de la red IPIDEA se tradujeron en la mayor operación de este tipo detectada hasta ahora, afectando a millones de equipos en múltiples regiones. La colaboración entre Google Threat Intelligence Group y otras entidades del sector fue presentada como una respuesta coordinada para frenar el uso de infraestructuras digitales comprometidas en actividades delictivas internacionales.

Entre los delitos identificados se encuentran el robo de credenciales de acceso, la toma irregular de cuentas digitales, el uso fraudulento de identidades y la obtención de información sensible. Los actores responsables usaron sofisticadas técnicas de ocultamiento, aprovechando que los nodos proxy se ubicaban en redes domésticas o empresariales de pequeña escala, lo que dificultó las labores de los especialistas en ciberseguridad.

La investigación recogida por Google enfatiza la naturaleza heterogénea de las víctimas, ya que la infección afectó tanto a usuarios individuales como a pequeñas empresas, quienes pueden desconocer completamente que sus dispositivos fueron integrados a esta red proxy residencial clandestina. La magnitud del daño potencial se evidencia en la diversidad de delitos cometidos utilizando los equipos comprometidos, así como en la complejidad de la estructura de comando y control asociada a la red de IPIDEA.

El enfoque de las acciones tomadas por Google y sus aliados ha sido evitar la reaparición de amenazas similares, dotando a las herramientas de seguridad como Google Play Protect de la capacidad para identificar y frenar aplicaciones con comportamientos sospechosos derivados de estas técnicas. Según la empresa, la divulgación pública de los mecanismos de funcionamiento y del alcance de la red constituye un paso relevante para sensibilizar sobre los riesgos de instalar aplicaciones desde fuentes no verificadas y sobre cómo estos vectores son aprovechados en campañas de ciberdelito a gran escala.