Por Canuto  

Una operación coordinada por el Departamento de Justicia de Estados Unidos y socios internacionales desmanteló cuatro botnets de Internet de las cosas vinculadas a algunos de los mayores ataques DDoS jamás registrados. El caso pone en evidencia cómo millones de dispositivos domésticos y comerciales comprometidos se han convertido en infraestructura criminal para extorsión, alquiler de ataques y ofensivas capaces de afectar incluso redes críticas.

***

  • Las autoridades interrumpieron las botnets Aisuru, KimWolf, JackSkid y Mossad, asociadas a ataques DDoS que superaron los 30 Tbps.
  • Según documentos judiciales, Aisuru emitió más de 200.000 comandos de ataque; JackSkid más de 90.000; KimWolf más de 25.000; y Mossad más de 1.000.
  • Cloudflare registró en 2025 un ataque UDP de 31,4 Tbps vinculado a Aisuru, mientras el total global de ataques DDoS subió a 47,1 millones.

 

Las autoridades de Estados Unidos anunciaron la desarticulación de cuatro botnets de Internet de las cosas, o IoT, vinculadas a algunos de los ataques de denegación de servicio distribuida más grandes de los que se tiene registro.

La operación apuntó a Aisuru, KimWolf, JackSkid y Mossad, redes criminales que infectaron millones de dispositivos en todo el mundo y luego los utilizaron para lanzar ofensivas masivas contra computadoras y servidores.

El caso destaca un problema que se ha intensificado en la última década. Muchos dispositivos conectados, como cámaras web, grabadores de video digitales, routers WiFi y equipos Android de bajo costo, suelen desplegarse con medidas de seguridad débiles. Cuando son comprometidos, pueden pasar a formar parte de botnets capaces de generar cantidades enormes de tráfico malicioso en segundos.

El Departamento de Justicia de Estados Unidos informó en un comunicado que trabajó junto con socios internacionales en una operación que eliminó de internet la infraestructura de mando y control de esas redes. También participó el Defense Criminal Investigative Service, o DCIS, que forma parte de la Oficina del Inspector General del Departamento de Defensa.

Según las autoridades, los operadores de estas botnets y sus clientes usaron los dispositivos secuestrados para ejecutar cientos de miles de ataques DDoS contra víctimas en todo el mundo. En algunos casos, esas ofensivas se combinaron con exigencias de extorsión. Varias víctimas reportaron pérdidas y costos de remediación de decenas de miles de dólares.

Cómo operaban las botnets desmanteladas

Las cuatro botnets estaban orientadas principalmente a la infección de equipos IoT. En la práctica, eso significaba comprometer dispositivos que a menudo permanecen encendidos de forma continua y cuentan con defensas limitadas. Esa combinación los vuelve especialmente atractivos para cibercriminales que buscan construir capacidad de ataque a gran escala sin invertir en infraestructura propia.

Aisuru fue una de las más notorias. De acuerdo con documentos judiciales citados por las autoridades, esta botnet emitió más de 200.000 comandos de ataques DDoS. KimWolf acumuló más de 25.000 comandos, JackSkid más de 90.000 y Mossad más de 1.000. En conjunto, la operación estadounidense indicó que los operadores de las cuatro botnets habían reunido más de 3 millones de dispositivos.

El modelo de negocio iba más allá del uso directo por parte de sus creadores. Las botnets funcionaban también como un servicio criminal bajo demanda. El acceso se vendía o alquilaba a otros actores, una práctica similar a los llamados servicios booter, que permiten a terceros lanzar ataques sin desarrollar su propia red de equipos comprometidos.

En el caso de KimWolf y JackSkid, las autoridades explicaron que estas botnets apuntaban a dispositivos diseñados para estar protegidos de la exposición directa a internet. Una vez comprometidos, pasaban a estar bajo control de sus operadores. Ese detalle resulta relevante porque muestra un salto en la capacidad ofensiva frente a variantes anteriores de malware IoT.

WIRED añadió que las cuatro botnets intervenidas eran variantes de Mirai, la conocida familia de malware IoT aparecida en 2016. Desde entonces, la base de código de Mirai ha servido como punto de partida para múltiples generaciones de botnets. En este caso, algunas incorporaron técnicas nuevas para llegar a equipos que ni siquiera Mirai había logrado comprometer en sus primeros años.

Aisuru y KimWolf, en el centro de los ataques récord

Aisuru y KimWolf concentraron buena parte de la atención de investigadores y empresas de defensa DDoS durante 2025. De acuerdo con Cloudflare, ambas botnets controlaban entre 1 millón y 4 millones de dispositivos infectados. La firma también señaló que la pareja estuvo detrás de una serie de ataques récord o casi récord durante el año pasado.

El episodio más llamativo ocurrió en noviembre de 2025. Cloudflare registró una inundación UDP de 31,4 Tbps vinculada a Aisuru. Ese volumen fue casi seis veces mayor que el ataque más grande registrado en 2024.

WIRED precisó que un ataque combinado atribuido a Aisuru y KimWolf duró apenas 35 segundos, pero superó los 30 terabits por segundo, cerca de tres veces el tamaño del mayor ataque equivalente visto antes.

La magnitud de esos números ayuda a entender por qué este tipo de ofensivas preocupan tanto a operadores de infraestructura. Según Cloudflare, el tráfico máximo de ataque de Aisuru y KimWolf equivalía a las poblaciones combinadas del Reino Unido, Alemania y España escribiendo simultáneamente la dirección de un sitio web y pulsando Enter en el mismo segundo.

Más allá del dato técnico, el patrón operativo también inquieta. La mayoría de los ataques DDoS observados en 2025 duraron menos de 10 minutos. Ese lapso deja una ventana muy reducida para cualquier mitigación manual y empuja a las organizaciones a depender de automatización defensiva, monitoreo en tiempo real y proveedores especializados.

Las botnets no se limitaron a blancos corporativos generales. Entre los objetivos visibles de Aisuru figuraron servicios de videojuegos como Minecraft y también el periodista independiente de ciberseguridad Brian Krebs, quien había investigado ampliamente el ecosistema de botnets y a Aisuru en particular.

La operación de incautación y el frente internacional

Durante la operación, el DCIS ejecutó órdenes de incautación dirigidas a dominios de internet registrados en Estados Unidos, servidores virtuales y otra infraestructura conectada con la actividad delictiva. Entre los elementos señalados se incluyeron sistemas involucrados en ataques DDoS contra direcciones IP de la Department of Defense Information Network, conocida como DoDIN.

El agente especial a cargo Kenneth DeChellis, de la Cyber Field Office del DCIS, afirmó que la colaboración entre las fuerzas del orden y los socios de la industria resultó vital para el éxito de la operación. Ese punto es central en este tipo de casos, porque las botnets suelen distribuir infraestructura, víctimas y operadores entre múltiples jurisdicciones.

Las autoridades estadounidenses también indicaron que colaboran con agencias de Canadá y Alemania, que tenían como objetivo a individuos que operaban estas botnets. Aunque no se anunciaron arrestos de inmediato junto con los desmantelamientos, el componente internacional sugiere que la operación no se limitó solo a apagar servidores, sino también a identificar a responsables humanos.

El fiscal federal Michael J. Heyman sostuvo que Estados Unidos mantiene su compromiso de salvaguardar la infraestructura crítica de internet y combatir a los ciberdelincuentes dondequiera que vivan. La declaración refleja el enfoque creciente de considerar estos ataques como una amenaza no solo económica, sino también de seguridad nacional.

Por qué el auge de los DDoS preocupa al ecosistema digital

Los ataques DDoS buscan saturar un servicio con tráfico para volverlo inaccesible. Aunque el método es conocido desde hace años, el salto reciente en escala y velocidad cambia el escenario para empresas, gobiernos y plataformas digitales. Un volumen de 31,4 Tbps puede superar con facilidad defensas heredadas y generar interrupciones severas.

Las cifras de 2025 muestran ese crecimiento. El número total de ataques DDoS se duplicó con creces durante el año hasta llegar a 47,1 millones. Además, los ataques a nivel de red se triplicaron interanualmente. Cloudforce One, la unidad de investigación de amenazas de Cloudflare, registró 19 ataques que batieron récords a lo largo del período.

Parte del riesgo proviene de la expansión continua del universo IoT. Cada nuevo dispositivo barato conectado a internet amplía la superficie de ataque potencial. Si los fabricantes no mantienen controles de seguridad robustos, actualizaciones oportunas y configuraciones seguras por defecto, esas piezas terminan alimentando economías criminales globales.

WIRED reportó además que los operadores de estas botnets llegaron a mover su sistema de nombres de dominio a la blockchain de Ethereum para dificultar la toma de control de sus servidores de comando y control. Ese detalle ilustra cómo ciertos actores criminales aprovechan tecnologías descentralizadas para intentar complicar las acciones de las autoridades.

Sin embargo, el desmantelamiento no implica el fin del problema. Chad Seaman, investigador principal de seguridad en Akamai citado por WIRED, describió el escenario como un juego de gato y ratón de largo plazo. Incluso si estas cuatro botnets quedan fuera de circulación de forma permanente, otros grupos probablemente intentarán reconstruir redes similares con nuevas técnicas y nuevos dispositivos vulnerables.

El caso de Aisuru, KimWolf, JackSkid y Mossad deja una conclusión clara. La ciberseguridad ya no depende solo de proteger centros de datos y computadoras tradicionales. También exige vigilar millones de aparatos cotidianos que, si son comprometidos, pueden convertirse en armas digitales a escala industrial.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público

Este artículo fue escrito por un redactor de contenido de IA

 


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados