«¡Nos tendieron una trampa! No fuimos nosotros», dice el director de una empresa tecnológica tras hallarse un botnet en sus servidores.
Cada nueva prueba no hace sino plantear más preguntas sobre la versión de la dirección.
Una empresa de ciberseguridad de Brasil se ha visto en el centro de una historia que resulta especialmente irónica: la firma que vende protección contra ataques DDoS resultó estar vinculada a la infraestructura de una botnet que atacaba a los proveedores de internet locales. El director de Huge Networks niega su implicación en los ataques y afirma que la compañía fue incriminada tras un hackeo, pero los expertos confían cada vez menos en esa versión.
Según KrebsOnSecurity, durante varios años los especialistas rastrearon grandes ataques DDoS que se originaban en Brasil y se dirigían exclusivamente a los operadores de telecomunicaciones brasileños. Surgieron nuevos detalles después de que una fuente anónima entregara un archivo encontrado en un catálogo en línea abierto.
En el archivo había scripts maliciosos en Python en portugués, historiales de la línea de comandos y claves SSH privadas que pertenecían al director ejecutivo de Huge Networks, Eric Nascimento. Huge Networks se fundó en Miami en 2014, pero opera principalmente en el mercado brasileño. La compañía comenzó protegiendo servidores de juegos y luego empezó a ofrecer protección contra ataques DDoS para proveedores.
El contenido del archivo muestra que el atacante con acceso root a la infraestructura de Huge Networks montó una botnet mediante un escaneo masivo de internet. Los scripts buscaban routers vulnerables TP-Link Archer AX21 que aún tenían abierta la vulnerabilidad CVE-2023-1389. El fabricante cerró la brecha en abril de 2023, sin embargo, parece que algunos dispositivos no recibieron la corrección.
La botnet también utilizaba servidores DNS abiertos para ataques reflejados con amplificación (DNS Amplification and Reflection Attack). En ese esquema la solicitud se falsifica como si proviniera de la víctima, y la respuesta de numerosos servidores DNS se dirige a su dirección. Gracias a las grandes respuestas DNS, la carga sobre el objetivo aumenta drásticamente.
Los dominios maliciosos de los scripts se habían vinculado anteriormente con una botnet de IoT basada en Mirai. Los comandos se ejecutaban a través de un servidor de Digital Ocean, que en el último año apareció cientos de veces en denuncias por abusos. En los scripts también figuraban direcciones IP de Huge Networks, a través de las cuales se seleccionaban los objetivos y se lanzaban los ataques. Las campañas atacaban solo rangos brasileños, y cada prefijo era atacado entre 10 y 60 segundos en varios hilos paralelos.
Eric Nascimento dijo a KrebsOnSecurity que no escribió los programas maliciosos y que no conocía la magnitud de la campaña hasta que los periodistas se pusieron en contacto. Según su versión, las huellas conducen al incidente de enero de 2026, cuando fueron comprometidos dos servidores de desarrollo y claves SSH personales. Tras una advertencia de Digital Ocean, la compañía, según el director, limpió los sistemas y cambió las claves.
Si Huge Networks efectivamente estuvo implicada en la campaña, los ataques podrían haberse usado no solo para afectar directamente el funcionamiento de proveedores competidores, sino también para socavar la confianza en sus redes. Ese escenario también podría, en teoría, aumentar el interés del mercado por los servicios de protección contra DDoS, sin embargo, los datos publicados no demuestran esto de forma directa.
El propio Nascimento, a su vez, sostiene lo contrario: que detrás del ataque podría estar un competidor que quería dañar la reputación de Huge Networks. No reveló el nombre del supuesto competidor, alegando que planea usar las pruebas recopiladas más adelante. Huge Networks también contrató a una empresa externa de forense de redes.