<p>Esta semana, el equipo de inteligencia de amenazas de Google ejecutó una operación coordinada para desmantelar lo que consideran la mayor red de proxies residenciales del mundo. El objetivo era IPIDEA, una infraestructura poco conocida fuera de los círculos de ciberseguridad pero que juega un papel crucial en el ecosistema del cibercrimen.</p>
IPIDEA es una infraestructura que convierte millones de dispositivos domésticos en herramientas para el ciberespionaje y el crimen organizado. Google ha conseguido desactivar millones de dispositivos pertenecientes a ella
Esta semana, el equipo de inteligencia de amenazas de Google ejecutó una operación coordinada para desmantelar lo que consideran la mayor red de proxies residenciales del mundo. El objetivo era IPIDEA, una infraestructura poco conocida fuera de los círculos de ciberseguridad pero que juega un papel crucial en el ecosistema del cibercrimen.
Los proxies residenciales funcionan de manera diferente a los servidores convencionales. Son programas instalados en dispositivos de todo tipo, como televisores inteligentes, teléfonos o routers, que permiten a un atacante enmascarar su actividad detrás de conexiones que parecen legítimas, dificultando enormemente la detección y bloqueo. En lugar de enrutar el tráfico a través de centros de datos conocidos y que son fácilmente identificables, utilizan direcciones IP asignadas a hogares y pequeños negocios.
Para mantener una red de este tipo se necesitan millones de direcciones IP residenciales, preferiblemente de países como Estados Unidos, Canadá o Europa, que se consideran más fiables. Los operadores de IPIDEA las conseguían de dos formas, bien preinstalando el software del proxy en dispositivos o engañando a usuarios para descargar aplicaciones con código oculto. Algunos usuarios también instalan este tipo de software voluntariamente, atraídos por la promesa de recibir ingresos a cambio de compartir su ancho de banda sobrante.
La investigación de Google reveló que, aunque los operadores de estos servicios suelen destacar sus beneficios para la privacidad y la libertad de expresión (permitiendo que tráfico legítimo se presente como procedente de otro país o región, por ejemplo, para acceder a servicios de streaming) la realidad es muy diferente. En un período de apenas siete días de enero de 2026, el equipo de Google detectó más de 550 amenazas que utilizaban direcciones IP de IPIDEA, incluyendo grupos de ciberdelincuentes vinculados a China, Corea del Norte, Irán y Rusia.
Las actividades observadas abarcaban desde accesos no autorizados a entornos empresariales en la nube hasta ataques de fuerza bruta contra gestores de contraseñas.
El análisis de Google descubrió que muchos programas de proxy y VPN aparentemente independientes estaban controlados en realidad por los mismos actores detrás de IPIDEA. La lista incluye nombres como 922 Proxy, Luna Proxy, Cherry Proxy y varios servicios de VPN como Galleon VPN y Radish VPN.
Estos mismos operadores controlan varios kits de desarrollo de software (SDK) diseñados para integrarse en aplicaciones ya existentes. Los desarrolladores que incorporan estos kits reciben pagos por descarga mientras convierten los dispositivos de sus usuarios en nodos de salida para la red de proxies.
Google identificó más de 600 aplicaciones de Android con códigos que conectaban a la infraestructura de IPIDEA, principalmente utilidades, juegos y aplicaciones de contenido que utilizaban estos SDK para aumentar sus ingresos. Ahora, los bloqueos de Google han reducido en millones el número de dispositivos disponibles para los operadores de esta red clandestina.
Los consumidores cuyos dispositivos forman parte de estas redes se enfrentan a riesgos significativos. Además de proporcionar involuntariamente su dirección IP como plataforma para actividades ilícitas, el software introduce vulnerabilidades de seguridad en los propios dispositivos.
Aunque la acción ha sido un duro golpe contra la red, IPIDEA sigue teniendo acceso a dispositivos en todo el mundo. Google ha hecho hincapié en que instalar aplicaciones que ofrezcan pagos a cambio de «ancho de banda no utilizado» o «compartir internet» es siempre peligroso. Para dispositivos conectados como decodificadores de televisión, la compañía aconseja comprar únicamente a fabricantes reconocidos.
Tecnología
