Publicado: julio 13, 2026, 12:24 am
Google ha vuelto a actuar contra una de las mayores redes utilizadas por los ciberdelincuentes para esconder sus ataques en internet. En una operación conjunta, la compañía de Mountain View, el FBI, Lumen y otros socios del sector han conseguido desactivar NetNat, una de las mayores redes de proxies residenciales maliciosas del mundo que daba acceso a millones de dispositivos Android comprometidos, incluidos televisores inteligentes y reproductores multimedia.
Más de dos millones de dispositivos Android infectados
Según informan desde Bleeping Computer, donde recogen la información del Grupo de Inteligencia de Amenazas de Google (GTIG), NetNut permitía a los atacantes ocultar su identidad utilizando la conexión a internet de millones de usuarios. Su modus operandi se basaba en que, en lugar de realizar los ataques desde sus propios equipos, lo que hacían era pasar el tráfico por dispositivos domésticos infectados de tal forma que las acciones parecían proceder de IPS legítimas.
Esto ayudaba a evitar ser detectados y hacía mucho más fácil el poder lanzar diferentes tipos de ataques. El GTIG estima que la red de bots proxy había conseguido comprometer al menos dos millones de dispositivos repartidos por todo el mundo, entre ellos Smart TV y dispositivos de streaming. La infección se producía a través de aplicaciones modificadas con código malicioso y botnets que instalaban en secreto un complemento para convertir estos equipos en nodos de la red proxy.
316 grupos de amenazas distintos utilizando esta red
El impacto era tal que los delincuentes informáticos usaban los dispositivos para ocultar ataques de mayor envergadura, acceder a sistemas comprometidos o realizar actividades de espionaje o relacionadas con la ciberdelincuencia. Para tener en consideración la magnitud de esto, en solo una semana del pasado mes de junio, Google detectó 316 grupos de amenazas distintos utilizando esta red.
Y esto no queda aquí, sino que las víctimas afectadas podrían sufrir otro problema: sus proveedores de internet podían llegar a identificar su conexión como sospechosa e incluso bloquear parte de su tráfico aunque ellos no hubieran hecho nada. Con el fin de detener la actividad de NetNut, Google desactivó las cuentas y los servicios que la red utilizaba para controlar el malware, una parte esencial de su infraestructura.
La protección de Google Play Protect también fue reforzada y ahora desactiva automáticamente el software infectado, avisa a los usuarios y bloquea futuras instalaciones de aplicaciones que utilicen los SDK de NetNut. Desde Google han confirmado que compartieron toda la información obtenida durante la investigación con otras plataformas, empresas de ciberseguridad y fuerzas del orden.
Defienden que esta colaboración es fundamental, ya que los operadores de redes proxy suelen compartir y vender los recursos entre diferentes grupos criminales, por lo que actuar de forma coordinada ayuda a reducir este tipo de amenazas a largo plazo.
