2–3 de julio de 2026, el FBI, la Agencia Tributaria de EE. UU. (IRS Criminal Investigation) y el Grupo de Inteligencia de Amenazas de Google eliminaron conjuntamente NetNut, una de las redes de proxies residenciales más grandes del mundo. Detrás de la atractiva fachada de "proveedor legal" se escondía el botnet Popa, compuesto por más de 2 millones de dispositivos domésticos hackeados: Smart TVs, decodificadores y gadgets Android. Este es el segundo desmantelamiento público de un gran jugador del mercado en seis meses, y establece una clara distinción entre proxies residenciales legítimos e infraestructuras criminales.
Qué sucedió exactamente
El 2 de julio, el Grupo de Inteligencia de Amenazas de Google (GTIG) desactivó las cuentas y servicios de Google que NetNut utilizaba para gestionar el botnet (comando y control). Al mismo tiempo, el FBI, junto con la división de IRS Criminal Investigation, confiscó cientos de dominios relacionados con la red. El dominio principal netnut.com ahora redirige a un aviso del FBI sobre la confiscación, mientras que el dominio netnut.io cambió su servidor DNS a ns1.fbi.seized.gov. También fueron confiscadas marcas relacionadas, como proxyjet.io y divinetworks.com.
NetNut es una empresa pública israelí Alarum Technologies Ltd (NASDAQ: ALAR), lo que significa que no se trata de un grupo clandestino, sino de un negocio que cotiza en bolsa. El abogado de la empresa, Omer Weiss, declaró que "Alarum toma la situación muy en serio y colaborará plenamente con las autoridades para que cualquier abuso de su infraestructura sea investigado a fondo".
Según Google, las acciones coordinadas causaron "un daño significativo a la red de proxies NetNut y a su negocio, reduciendo el grupo de dispositivos disponibles del operador en millones". Este es un escenario clásico: en enero de 2026, Google desmanteló de manera similar a la red competidora IPIDEA.
Cómo un botnet de 2 millones de televisores se hacía pasar por "proxies residenciales"
El botnet Popa ha estado operando al menos desde 2020. Los dispositivos entraban en la red de tres maneras:
- Aplicaciones trojanizadas. Los usuarios descargaban aplicaciones que parecían inofensivas de IPTV, streaming y "utilidades", dentro de las cuales había un proxy-SDK oculto. Así funcionaba también el gran botnet Badbox 2.0, cuyos plugins se cruzaban con NetNut.
- Preinstalación de fábrica. Algunos Smart TVs y decodificadores económicos llegaban al comprador con un código proxy ya incrustado; el dispositivo se convertía en un exit-node inmediatamente después de ser desempaquetado.
- Vitrinas de aplicaciones infectadas. La magnitud del problema es enorme: según los investigadores, el proxy-SDK estaba presente en 42% de las aplicaciones para LG webOS y más del 26% de las aplicaciones para Samsung Tizen.
El resultado: millones de direcciones IP domésticas reales, que son indistinguibles de un "usuario vivo", exactamente lo que el mercado paga una prima. Sin embargo, los propietarios de estos televisores no dieron su consentimiento y no recibieron dinero.
316 grupos en una semana: para qué se utilizaba esto
La cifra más preocupante del informe de GTIG: solo en una semana de junio de 2026, Google registró 316 clústeres de amenazas individuales que salían a través de nodos de NetNut. Era una mezcla de cibercriminales y grupos relacionados con el espionaje. Los principales escenarios:
- Password spraying. Los atacantes probaban contraseñas robadas y adivinadas, distribuyendo los intentos de inicio de sesión a través de miles de diferentes IP residenciales. Los sistemas de monitoreo de inicios de sesión no ven un volumen anómalo de ninguna fuente, por lo que la clásica protección "por cantidad de intentos desde una IP" se vuelve ciega.
- Enmascaramiento en ataques. La IP residencial ocultaba la ubicación real al acceder a entornos comprometidos de las víctimas y a la propia infraestructura de los delincuentes.
- Secuestro de cuentas, fraude publicitario y scraping masivo — bajo la cobertura de direcciones "domésticas".
Un peligro adicional para los propietarios de dispositivos infectados: el tráfico ajeno que pasa a través de su televisor está vinculado a su IP. Sus solicitudes legítimas pueden ser marcadas como sospechosas y bloqueadas por servicios vecinos, y el atacante, si lo desea, obtiene un punto de apoyo en su red doméstica.
Por qué esto afecta a todo el mercado de proxies
NetNut no solo vendía directamente, sino que también operaba bajo un modelo de marca blanca: muchas "marcas" populares de proxies residenciales en realidad revendían su infraestructura bajo su propio nombre. GTIG describe directamente la mecánica del mercado con la cita: "Cuando el propio botnet del operador se degrada, los operadores de proxies comienzan a comprar capacidad a los competidores, convirtiéndose en revendedores". Es decir, bajo una fachada atractiva, usted podría, sin saberlo, estar utilizando los mismos televisores hackeados.
El segundo fallo sistémico — débil KYC. Comprar acceso a la infraestructura era posible sin proporcionar un nombre real, lo que abrió la puerta a cientos de clústeres criminales. Incluso la parte "limpia" del negocio se vio afectada: NetNut tenía una división DiviNetworks con proxies ISP bajo contratos directos con proveedores (que es un modelo legítimo), pero al desmantelar la red, todo se vio comprometido.
Para el usuario honesto, la conclusión es sencilla: el origen de las direcciones IP no es una "ética" abstracta, sino una cuestión de su estabilidad operativa. El proveedor del botnet puede ser confiscado en una noche, su grupo de direcciones se ve afectado por la reputación de cientos de delincuentes, y el mero hecho de utilizar tal red representa un riesgo legal. Por eso es importante entender la diferencia entre los tipos de proxies y su origen: cómo funcionan los proxies residenciales y los proxies móviles, y cuándo para una tarea son suficientes los proxies de servidor rápidos y predecibles sin todo este drama residencial.
Cómo distinguir un proxy residencial honesto de un botnet
El desmantelamiento de NetNut es una buena oportunidad para reestructurar la lista de verificación para elegir un proveedor. En qué fijarse:
- Origen transparente de la IP. Las direcciones residenciales y ISP legítimas se obtienen ya sea mediante contratos directos con proveedores o a través del consentimiento explícito de los usuarios a cambio de una compensación real. Si el proveedor es evasivo sobre el origen del grupo, es una señal de alerta.
- Ningún "dinero por tráfico no utilizado". Google advierte claramente que se deben evitar aplicaciones que ofrecen pagar por "compartir internet" o "ancho de banda no utilizado", ya que este es el principal vector de infección de proxies botnet. Si su red de proxies se alimenta de tales aplicaciones, usted es parte del problema.
- KYC real y reglas de uso. Un proveedor que no pregunta quién es usted y para qué, vende el acceso con la misma facilidad tanto a usted como a un grupo de password-spraying.
- Estabilidad del grupo. Las direcciones que han sido expuestas en cientos de ataques rápidamente entran en las listas negras de los sistemas antifraude. Un grupo limpio y gestionado es más estable donde el botnet ya ha sido destruido.
Ya hemos analizado en detalle cómo funcionan estas redes sombrías desde el lado de los dispositivos infectados, en el material sobre Smart TVs como exit-node de proxies residenciales — la historia de NetNut es exactamente ese escenario llevado a su conclusión lógica con la orden del FBI.
Qué cambia en la práctica
Para los equipos que realizan web scraping, multi-accounting, automatización de SMM o simplemente eluden bloqueos geográficos, la señal principal es la siguiente: el mercado de proxies residenciales está pasando por una dolorosa "sanación". En seis meses, se han desmantelado públicamente dos grandes redes (IPIDEA en enero, NetNut en julio), y Google está desactivando metódicamente la infraestructura C2 y advirtiendo a los usuarios a través de Play Protect. Los "residentes baratos de la nada" no son un trato ventajoso, sino una bomba de tiempo: la red puede ser desconectada, el grupo está envenenado, y la conexión con el tráfico criminal crea riesgos reputacionales y legales.
Gana quien trata los proxies como infraestructura, y no como un recurso gris: elige un proveedor transparente, comprende el origen de las direcciones y selecciona el tipo adecuado para cada tarea: residencial donde se necesita una IP "viva", móvil para las plataformas más sensibles, y servidor donde la velocidad y el precio son importantes. La sanación del mercado es incómoda en el momento, pero a largo plazo hace que el trabajo honesto sea más sostenible — y devuelve los televisores a sus propietarios.
```