Servicio comercial vinculado a infraestructura de procedencia dudosa

El internet doméstico puede convertirse silenciosamente en una cobertura para ataques de terceros, y Google debilitó seriamente la red NetNut, también conocida como Popa, que convertía televisores inteligentes, decodificadores y otros dispositivos en proxies para tráfico ajeno. Junto con el FBI, Lumen y otros socios, la empresa redujo el número de nodos disponibles en millones. En su apogeo esta red maliciosa abarcaba más de 2 millones de dispositivos en todo el mundo.
NetNut vendía acceso a direcciones IP domésticas comunes. Los clientes dirigían su tráfico a través de esas direcciones para que la actividad pareciera la de un usuario corriente, y no una conexión desde un centro de datos, que los sistemas de defensa suelen bloquear con más frecuencia. Los propietarios de los dispositivos corrían el riesgo de recibir reclamaciones por acciones ajenas vinculadas a la dirección doméstica.
El código llegaba a equipos económicos antes de la venta o se ocultaba en aplicaciones gratuitas. Tras su ejecución, el dispositivo se convertía en un nodo de salida para tráfico de terceros. Google advierte que este mecanismo también creaba un punto de entrada a la red interna. Parte de esos dispositivos se habían conectado anteriormente a los botnets Mirai y Badbox 2.0.
Sólo en una semana de junio, los especialistas de Google identificaron 316 grupos de actividad que presuntamente utilizaban nodos de NetNut. Entre ellos había grupos cibercriminales y de inteligencia, que ocultaban la ubicación y ejecutaban ataques de fuerza bruta contra contraseñas.
La relación entre Popa y la red comercial NetNut se comprobó en una prueba controlada. Synthient dirigió tráfico a la puerta de enlace de NetNut, después los datos pasaron a través de un dispositivo conectado previamente a Popa. La comprobación mostró la ruta del tráfico, pero no demostró que NetNut supiera del método de conexión de los dispositivos.
El propietario del servicio Alarum Technologies rechaza la definición de «botnet» y afirma que los usuarios compartían voluntariamente su ancho de banda. Sin embargo, los especialistas no encontraron una solicitud de consentimiento en ninguna de las más de 20 aplicaciones estudiadas.
No se logró cerrar completamente la red. NetNut opera a través de intermediarios que venden el mismo conjunto de direcciones bajo diferentes marcas. Por eso Google habla solo de debilitar la infraestructura, no de su eliminación.
Para reducir el riesgo, Google recomienda evitar aplicaciones que ofrecen pago por «internet no utilizado», instalar aplicaciones únicamente desde tiendas oficiales, revisar los permisos de servicios VPN y proxy, no desactivar Google Play Protect y elegir dispositivos de fabricantes conocidos.