Desmantelan botnets IoT que impulsaron ataques DDoS récord de 31.4 Tbps
Publicado el
Desmantelamiento de Botnets IoT
El Departamento de Justicia de EE. UU. (DoJ) ha llevado a cabo una operación para desmantelar la infraestructura de mando y control de varias botnets de Internet de las Cosas (IoT), incluyendo AISURU, Kimwolf, JackSkid y Mossad. Este esfuerzo, autorizado por un tribunal, fue realizado en colaboración con las autoridades de Canadá y Alemania, así como con el apoyo de importantes empresas del sector privado como Akamai, Amazon Web Services, Cloudflare, DigitalOcean y Google.
Según el DoJ, estas cuatro botnets realizaron ataques de denegación de servicio distribuido (DDoS) a nivel mundial, algunos de los cuales alcanzaron una impresionante magnitud de 30 Terabits por segundo, estableciendo nuevos récords. Un análisis previo de Cloudflare atribuyó a AISURU/Kimwolf un ataque DDoS masivo de 31.4 Tbps en noviembre de 2025, que duró solo 35 segundos. Además, se estima que durante el último trimestre de 2025, la botnet participó en ataques DDoS hiper-volumétricos con un tamaño promedio de 3 mil millones de paquetes por segundo y 54 millones de solicitudes por segundo.
Actividades del Crimen Cibernético
El periodista de seguridad independiente Brian Krebs identificó al administrador de Kimwolf como Jacob Butler, un joven de 23 años de Ottawa, Canadá. Butler afirmó que no utiliza su alias 'Dort' desde 2021 y que alguien está suplantando su identidad tras comprometer su antiguo cuenta. También se menciona a un sospechoso adicional, un adolescente de 15 años que reside en Alemania. Hasta el momento, no se han realizado arrestos relacionados con estas actividades delictivas.
La botnet ha conseguido reclutar más de 2 millones de dispositivos Android, principalmente televisores inteligentes de marcas no reconocidas. En total, se estima que las cuatro botnets han infectado a más de 3 millones de dispositivos en todo el mundo, incluidos grabadores de vídeo digitales, cámaras web y routers Wi-Fi, con cientos de miles de estos dispositivos ubicados en EE. UU.
El DoJ ha indicado que las botnets Kimwolf y JackSkid están acusadas de infectar dispositivos que normalmente están 'protegidos' de amenazas externas. Estos dispositivos infectados fueron controlados por los operadores de las botnets, quienes utilizaron un modelo de negocio de 'cibercrimen como servicio' para vender acceso a estos dispositivos a otros delincuentes cibernéticos. Esto permitió llevar a cabo ataques DDoS contra objetivos seleccionados a nivel global.
Impacto en la Infraestructura de Internet
Los documentos judiciales revelan que las variantes de la botnet Mirai han emitido cientos de miles de comandos de ataque DDoS, siendo los números de comandos de ataque los siguientes: - AISURU: más de 200,000 comandos - Kimwolf: más de 25,000 comandos - JackSkid: más de 90,000 comandos - Mossad: más de 1,000 comandos
Tom Scholl, vicepresidente y ingeniero distinguido en AWS, destacó que Kimwolf representa un cambio fundamental en la operación y escalabilidad de las botnets, al utilizar redes proxy residenciales como nuevo vector de ataque. Al infiltrarse en redes domésticas a través de dispositivos comprometidos, la botnet accedió a redes locales que suelen estar protegidas por routers domésticos.
Akamai ha informado que estas botnets han generado ataques que superan los 30 Tbps, 14 mil millones de paquetes por segundo y 300 millones de solicitudes por segundo, lo que ha permitido a los delincuentes lanzar un gran número de ataques y, en algunos casos, exigir pagos de extorsión a las víctimas. Estas actividades pueden paralizar la infraestructura crítica de Internet y causar una degradación significativa del servicio para los proveedores de servicios de Internet y sus clientes.
En resumen, el desmantelamiento de estas botnets no solo representa un avance en la lucha contra el cibercrimen, sino que también subraya la vulnerabilidad de los dispositivos IoT en el ecosistema digital actual.