Un botnet que infectó routers domésticos durante 20 años fue finalmente desmantelado por una operación internacional. ¿La finalidad? Venderlos como proxies residenciales a ciberdelincuentes en todo el mundo.
¿La finalidad? Venderlos como proxies residenciales a ciberdelincuentes en todo el mundo.
Bienvenido a Operation Moonlander
Esta operación conjunta —liderada por el FBI junto a agencias de Países Bajos, Tailandia y expertos de Black Lotus Labs— acabó con dos servicios ilegales muy populares en el submundo del cibercrimen: Anyproxy y 5socks.
Las autoridades también acusaron a tres ciudadanos rusos y uno kazajo de operar, mantener y beneficiarse económicamente de esta red.
Desde al menos 2004, los atacantes infectaban routers viejos con malware y los convertían en proxies para vender su acceso de forma anónima. Sí, leyeron bien: ¡desde 2004!
Cómo funcionaba este negocio ilegal
- Infectaban routers antiguos (especialmente de marcas como Linksys y Cisco).
- Los convertían en servidores proxy sin autenticación.
- Vendían el acceso a ciberdelincuentes por entre $10 y $110 mensuales.
- Promocionaban los servicios como “residenciales”, que son más difíciles de detectar y bloquear.
El resultado: más de $46 millones recaudados en suscripciones mensuales por acceder a más de 7.000 proxies activos.
Por qué es tan grave esto
Porque este tipo de proxies permiten ocultar todo tipo de delitos digitales:
- Fraude publicitario
- Ataques DDoS
- Fuerza bruta de contraseñas
- Robo de criptomonedas
- Suplantación de identidad digital
Además, solo el 10% del tráfico malicioso generado por estos proxies era detectado por herramientas como VirusTotal, lo que los hacía extremadamente efectivos para evadir la vigilancia.
Qué dispositivos estaban en el punto de mira de la red de botnets
Muchos modelos vulnerables, incluyendo:
- Linksys: E1200, E2500, E1000, E4200, WRT320N, WRT610N, entre otros.
- Cisco: M10
Todos ellos en su mayoría con funciones de administración remota activadas y ya sin soporte técnico, lo que los hacía un blanco perfecto para la variante de malware llamada TheMoon.
Cómo procede el FBI luego de su detección
La FBI emitió una alerta recomendando:
✅ Desactivar la administración remota en routers antiguos
✅ Reemplazar equipos EoL (End-of-Life) que ya no reciben actualizaciones
✅ Restaurar routers infectados a valores de fábrica
✅ Monitorear conexiones salientes inusuales
Moraleja: Si tu router es tan viejo como el meme de “Charlie bit my finger”, es hora de cambiarlo. Tu red doméstica puede ser el escondite perfecto para actividades delictivas… sin que lo sepas.