Google y sus socios lanzaron esta semana una operación importante para desmantelar lo que los expertos en seguridad consideran una de las mayores redes de proxies residenciales del mundo: IPIDEA.
El servicio de proxy funciona redirigiendo el tráfico de internet a través de millones de dispositivos de consumidores cotidianos dispersos por todo el planeta, permitiendo que los atacantes oculten sus actividades detrás de direcciones IP ordinarias.
Esta infraestructura se ha convertido en una herramienta crítica para criminales y grupos vinculados a estados-nación que buscan enmascarar sus huellas digitales mientras llevan a cabo ciberataques, campañas de espionaje y operaciones de robo de datos.
La red IPIDEA representa una amenaza significativa porque vende acceso a un enorme conjunto de direcciones IP residenciales comprometidas, siendo especialmente valiosos los dispositivos de Estados Unidos, Canadá y Europa.
Los atacantes usan estas direcciones para hacer que sus acciones maliciosas parezcan provenir de usuarios de internet normales en lugar de ellos mismos, lo que dificulta mucho más la detección y el bloqueo para los defensores de redes y los equipos de seguridad.
.webp)
Analistas y investigadores de Google Cloud señalaron que IPIDEA opera a través de kits de desarrollo de software, conocidos como SDKs, que los desarrolladores incorporan sin saberlo en aplicaciones que parecen legítimas.
Cuando los usuarios descargan juegos, utilidades u otras apps que contienen estos SDKs ocultos, sus dispositivos pasan a formar parte de la red de proxies sin su conocimiento ni consentimiento claro.
La empresa utiliza múltiples nombres de marca —como 360 Proxy, Luna Proxy y otros— para disfrazar el hecho de que todos estos servicios están controlados por el mismo grupo de operadores.
Mecanismo de infección
El mecanismo de infección se basa en el engaño en lugar de exploits de malware complejos. Los SDKs de IPIDEA permanecen inactivos dentro de aplicaciones normales hasta que se activan, convirtiendo silenciosamente los dispositivos de los usuarios en nodos de salida de proxy.
Una vez integrados, estos SDKs establecen sistemas de comunicación de comando y control de dos niveles: primero conectándose a servidores de control para recibir instrucciones, y luego manteniendo conexiones persistentes con servidores de distribución de proxies.
Esta arquitectura permite a los atacantes redirigir su tráfico malicioso a través de dispositivos infectados de forma automática.
.webp)
La investigación de Google reveló que, durante solo un período de siete días en enero de 2026, más de 550 grupos de amenazas rastreados utilizaron nodos de salida de IPIDEA para diversos ataques, incluyendo el acceso a sistemas empresariales y operaciones de *password spraying* dirigidas a infraestructuras corporativas.
Las acciones de aplicación de Google se centraron en la infraestructura de control, los dominios legales usados para marketing, y trabajaron con socios de plataforma como Cloudflare.
La compañía integró protecciones en los servicios de Google Play, asegurando que los dispositivos Android detecten y eliminen automáticamente aplicaciones que contengan código de IPIDEA.
Estos esfuerzos coordinados han reducido significativamente la capacidad operativa de la red al eliminar millones de nodos de dispositivos disponibles, aunque los expertos en seguridad advierten que redes de proxies similares siguen expandiéndose a nivel global.
Fuentes:
https://cybersecuritynews.com/worlds-largest-ipidea-residential-proxy-network/
No hay comentarios:
Publicar un comentario