Los botnets basados en Mirai han evolucionado para convertirse en una amenaza significativa, combinando ataques DDoS masivos y abuso de servidores proxy. Esta evolución ha permitido a los ciberdelincuentes ampliar su alcance, afectando no solo a dispositivos IoT vulnerables, sino también a infraestructuras críticas y redes empresariales.

Los investigadores han observado un aumento en la sofisticación de estas botnets, que ahora incorporan técnicas avanzadas de evasión y persistencia. Además, se ha detectado un incremento en el uso de estos botnets para actividades maliciosas como el fraude publicitario, el minado de criptomonedas y el robo de datos.

Las organizaciones deben tomar medidas proactivas para proteger sus redes, incluyendo la actualización regular de firmware en dispositivos IoT, la implementación de soluciones de seguridad robustas y la monitorización constante del tráfico de red.

Internet ha experimentado un fuerte aumento en las amenazas impulsadas por botnets durante el último año, y gran parte de esta actividad se remonta a una de las familias de malware más influyentes de la historia moderna: Mirai.

Descubierto por primera vez en 2016, Mirai fue diseñado para escanear internet en busca de dispositivos del Internet de las Cosas (IoT) que funcionaran con procesadores ARC, los cuales operan una versión reducida de Linux.

Los atacantes obtenían acceso a estos dispositivos explotando fallos de seguridad conocidos o iniciando sesión con credenciales predeterminadas de fábrica, que la mayoría de los usuarios nunca cambian.

Lo que comenzó como una herramienta enfocada en lanzar ataques DDoS se ha convertido en un vasto ecosistema de amenazas, con cientos de variantes activas que ahora atacan a millones de dispositivos en todo el mundo.

La publicación del código fuente de Mirai abrió la puerta para que innumerables actores maliciosos crearan sus propias versiones.

Spamhaus registró un 26% de aumento en servidores de comando y control (C2) de botnets en el primer semestre de 2025, seguido de otro incremento del 24% entre julio y diciembre de 2025.

Este aumento ha llevado a Estados Unidos a superar a China como el país que alberga la mayor cantidad de servidores C2 de botnets, un puesto que China ocupaba desde el tercer trimestre de 2023.

La magnitud de este crecimiento refleja lo libremente que circula el código base de Mirai entre ciberdelincuentes y lo poco que cuesta crear una nueva variante.

Investigadores de Pulsedive identificaron y rastrearon varias botnets activas basadas en Mirai, destacando Aisuru y Kimwolf como las más destructivas.

Juntas, estas dos variantes —a menudo denominadas Aisuru-Kimwolf— han comprometido entre uno y cuatro millones de dispositivos en todo el mundo.

Cloudflare documentó que Aisuru-Kimwolf está detrás de algunos de los mayores ataques DDoS jamás registrados, incluyendo una inundación de 31,4 terabits por segundo y un asalto de 14,1 mil millones de paquetes por segundo.

Estas cifras superan con creces lo que podían generar las variantes anteriores de Mirai y subrayan lo peligrosa que se ha vuelto la nueva generación de estas botnets.

Los operadores detrás de Aisuru-Kimwolf han convertido su infraestructura en un negocio criminal, vendiendo acceso a dispositivos comprometidos a través de plataformas como Discord y Telegram.

El 19 de marzo de 2026, el Departamento de Justicia de EE.UU. anunció acciones disruptivas autorizadas por tribunales contra los servidores C2 que apoyaban a las botnets Aisuru, KimWolf, JackSkid y Mossad, con operaciones de aplicación de la ley que abarcaron Canadá y Alemania.

Además de los ataques DDoS, estas botnets se han utilizado para abusar de redes proxy residenciales, redirigiendo el tráfico de ataques a través de direcciones IP pertenecientes a propietarios de viviendas comunes, lo que hace que la actividad sea mucho más difícil de rastrear. A pesar de los esfuerzos por desmantelarlas, estas botnets siguen adaptándose y encontrando nuevas formas de mantenerse operativas.

Mecanismo de infección de Kimwolf y evasión de infraestructura

Kimwolf es una subvariante de Aisuru enfocada en Android, diseñada para atacar dispositivos móviles y Smart TVs.

Ha infectado aproximadamente dos millones de dispositivos Android en todo el mundo, aprovechando las mismas capacidades DDoS que Aisuru, pero modificadas para funcionar en sistemas Android.

Una vez que se alcanza un dispositivo vulnerable, Kimwolf ejecuta un script de instalación que descarga archivos .apk desde un servidor controlado por el atacante. El script hace que cada archivo sea ejecutable y los ejecuta en secuencia, dirigiéndose a diferentes arquitecturas de CPU para infectar la mayor cantidad posible de dispositivos.

Tras la interrupción por parte de Google y el Departamento de Justicia de la infraestructura proxy residencial IPIDEA vinculada a Kimwolf, surgieron informes de que la botnet había migrado a The Invisible Project (I2P), una red de comunicaciones descentralizada y cifrada diseñada para anonimizar el tráfico.

Este cambio fue una respuesta directa a la presión de las acciones de desmantelamiento: I2P es mucho más difícil de monitorear o cerrar que una infraestructura convencional.

El movimiento subraya un patrón claro: estos operadores observan de cerca las acciones de las fuerzas del orden y redirigen rápidamente sus operaciones en cuanto se produce cualquier interrupción.

Los proveedores de red suelen ofrecer soluciones de protección contra DDoS que pueden detectar y bloquear el tráfico generado por bots, y las organizaciones deberían aprovechar al máximo estas herramientas.

Los servicios de DNS protectores pueden filtrar consultas de dominios sospechosos antes de que lleguen a los sistemas internos. Los dispositivos de red accesibles públicamente, especialmente los routers, deben parchearse de manera constante.

Las credenciales predeterminadas en todos los equipos de red deben reemplazarse por contraseñas fuertes y únicas durante la configuración inicial y nunca deben dejarse sin modificar.