¿Tu televisor va más lento? Podría estar participando en el mayor ciberataque del año

Según el informe de Pulsedive Threat Research, las botnets vuelven a ganar fuerza y ya es difícil ignorar su magnitud. En la segunda mitad de 2025, el número de servidores de comando y control detectados aumentó un 24%, y los propios ataques se han vuelto más potentes y sofisticados. En ese contexto, las autoridades comenzaron a actuar con más dureza e intentaron golpear la infraestructura de varias redes grandes de dispositivos infectados.

Una botnet es una red de equipos y dispositivos infectados que controla un único operador o un grupo. Esas redes se usan para ataques masivos contra sitios web, para la obtención de contraseñas y para el envío de correos de phishing. Los atacantes ocultan su actividad detrás de dispositivos ajenos, por lo que rastrear la fuente del ataque se vuelve mucho más difícil.

El 19 de marzo de 2026 el Departamento de Justicia de EE. UU. anunció un intento de desactivar la infraestructura de control de las botnets Aisuru, KimWolf, JackSkid y Mossad. La operación contó con la participación de Canadá y Alemania. En concreto, las fuerzas del orden intentaron tomar el control de servidores virtuales en DigitalOcean que se usaban como centros de mando de KimWolf.

Las botnets modernas en gran parte surgieron a partir de Mirai, un programa malicioso aparecido en 2016. Mirai escanea internet en busca de dispositivos vulnerables del Internet de las cosas, como routers domésticos o cámaras. La infección ocurre a través de vulnerabilidades conocidas o contraseñas por defecto que los propietarios no han cambiado. Tras la publicación del código fuente de Mirai surgieron numerosas variantes, y cada una desarrolla la idea a su manera.

Una de esas variantes es Satori. En 2017 Satori infectó más de 260 000 routers, principalmente domésticos y de oficina. El malware explotaba vulnerabilidades que permitían ejecutar comandos de forma remota en el dispositivo. Tras la intrusión, el dispositivo descargaba y ejecutaba varios archivos para distintas arquitecturas de procesador con el fin de ampliar su alcance.

Botnets más recientes, como Aisuru-Kimwolf, alcanzaron un nuevo nivel. La red infectó entre 1 y 4 millones de dispositivos en todo el mundo y se empleó en algunos de los mayores ataques DDoS. Se han registrado ataques con una potencia de 31,4 terabits por segundo y hasta 14,1 mil millones de paquetes por segundo. El código malicioso puede alterar las características de los paquetes de red, lo que dificulta su detección.

KimWolf merece una mención aparte: es una variante orientada a dispositivos con Android, incluidos televisores y teléfonos inteligentes. La red ya ha capturado alrededor de 2 millones de dispositivos. Sus operadores venden acceso a los dispositivos infectados a otros ciberdelincuentes a través de Discord y Telegram, fijando el precio según la potencia del ataque y su duración.

Para ocultar su actividad, los atacantes usan las llamadas redes de «proxy domésticos», donde el tráfico pasa por direcciones IP reales de usuarios. En los últimos meses se ha empleado activamente la infraestructura IPIDEA. Tras intentos de bloqueo, parte de la actividad se trasladó a la red I2P, un sistema distribuido que oculta a los participantes y complica la interceptación del control.

El aumento de la actividad de las botnets está ligado en gran medida a la disponibilidad del código fuente de Mirai y a la débil protección de los dispositivos domésticos. Los routers y otros equipos rara vez reciben actualizaciones, y los usuarios con frecuencia mantienen las contraseñas por defecto. Como resultado, esos dispositivos se convierten con facilidad en parte de la infraestructura de ataques de terceros.

Es poco probable que la situación cambie pronto. Mientras los dispositivos domésticos sigan siendo vulnerables, las botnets seguirán creciendo y los ataques se volverán más potentes y más difíciles de mitigar.