Google intensifica su ofensiva contra redes proxy residenciales: NetNut y Popa en el punto de mira
1. Introducción
En una nueva muestra de su compromiso para combatir el cibercrimen, Google ha anunciado la puesta en marcha de una operación coordinada contra la red de proxies residenciales NetNut, también conocida como Popa. Esta acción, realizada en colaboración con el FBI, Lumen y otras entidades relevantes del sector, supone un paso más en la estrategia de la compañía para desmantelar infraestructuras maliciosas que facilitan actividades ilícitas a gran escala. El anuncio de Google llega tras la reciente interrupción de la red de proxies IPIDEA en enero de 2026, consolidando así una tendencia de actuaciones proactivas orientadas a frenar la proliferación de redes proxy utilizadas para eludir controles de seguridad, ocultar la identidad de atacantes y potenciar campañas de fraude y abuso digital.
2. Contexto del Incidente o Vulnerabilidad
Las redes de proxies residenciales, como NetNut y Popa, han ganado popularidad entre los actores maliciosos debido a su capacidad para enrutar tráfico a través de dispositivos de usuarios legítimos, camuflando así la verdadera fuente de los accesos maliciosos. A diferencia de los proxies tradicionales o los servicios VPN, estas redes aprovechan dispositivos comprometidos o acuerdos comerciales poco transparentes para ofrecer direcciones IP residenciales genuinas, lo que incrementa la dificultad de detección por parte de sistemas de seguridad y dificulta la atribución de ataques.
NetNut, gestionada por la empresa israelí Alarum Technologies (anteriormente Safe-T Group), ha ofrecido durante años servicios de proxy residencial a escala global. Sin embargo, investigaciones recientes han evidenciado que su red estaba siendo utilizada de manera sistemática para actividades delictivas, como fraudes a gran escala, scraping masivo de datos, campañas de phishing y ataques de denegación de servicio distribuidos (DDoS).
3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)
Aunque las acciones de Google no se han centrado en una vulnerabilidad específica (no existe un CVE asociado), sí se han identificado numerosos vectores de abuso en el funcionamiento de estas redes proxy. Los TTPs (Tactics, Techniques and Procedures) empleados por los actores maliciosos, según la matriz MITRE ATT&CK, coinciden con técnicas como:
– TA0011: Command and Control – Application Layer Protocol, y
– T1090: Proxy, que describe el uso de proxies para ocultar la infraestructura real de ataque.
Los Indicadores de Compromiso (IoC) detectados incluyen rangos de IPs residenciales pertenecientes a NetNut y Popa, patrones de tráfico anómalos asociados al uso de scripts automatizados y fingerprints de herramientas de scraping y bots. Asimismo, se ha reportado la integración de estos servicios de proxy con frameworks de ataque como Metasploit y Cobalt Strike, lo que facilita la evasión de mecanismos de detección y respuesta (EDR/XDR) y la realización de ataques coordinados a gran escala.
4. Impacto y Riesgos
El uso masivo de proxies residenciales representa un desafío crítico para la seguridad de las empresas y la cadena de suministro digital. Se estima que alrededor del 12% del tráfico malicioso en 2025 utilizó redes de proxies residenciales, según datos de Lumen. El impacto abarca desde el fraude publicitario (ad fraud) y el robo automatizado de credenciales (credential stuffing), hasta ataques de denegación de servicio y elusión de sistemas antifraude financieros.
El riesgo legal también es significativo, especialmente en el contexto del Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, dado que el uso no autorizado de dispositivos residenciales puede implicar la exposición de datos personales y la responsabilidad subsidiaria de los proveedores de servicios que no implementen controles adecuados.
5. Medidas de Mitigación y Recomendaciones
Google y sus socios han comenzado a bloquear direcciones IP asociadas a NetNut y Popa en sus servicios, y recomiendan lo siguiente a las organizaciones:
– Actualización de listas negras (blocklists) de IPs y ASN vinculados a estas redes proxy.
– Implementación de controles de acceso y autenticación reforzados para detectar y bloquear comportamientos automatizados.
– Monitorización continua del tráfico de entrada, priorizando patrones anómalos y la detección de scraping y bots.
– Uso de soluciones e inteligencia de amenazas (Threat Intelligence) para identificar nuevos IoC y TTP emergentes asociados a proxies residenciales.
– Formación específica para SOC y equipos de respuesta ante incidentes sobre las técnicas actuales de evasión basadas en proxies.
6. Opinión de Expertos
Diversos analistas y CISOs del sector han valorado positivamente la iniciativa de Google, aunque advierten de que la naturaleza descentralizada y en constante evolución de estas redes proxy dificulta su erradicación completa. «La colaboración público-privada es esencial, pero las empresas deben reforzar sus propios controles internos y no confiar únicamente en bloqueos externos», señala Marta González, responsable de ciberinteligencia en una entidad financiera española. Por su parte, expertos en pentesting destacan la necesidad de técnicas de fingerprinting avanzado y el uso de honeypots para identificar tráfico proxy en entornos empresariales.
7. Implicaciones para Empresas y Usuarios
Para las empresas, la consolidación de este tipo de amenazas obliga a reevaluar sus estrategias de defensa perimetral y de prevención de fraude, así como a adaptar sus políticas de privacidad y notificación de brechas conforme a la legislación vigente. Los usuarios particulares, aunque generalmente inconscientes, pueden ver sus dispositivos implicados en redes proxy a través de aplicaciones maliciosas o acuerdos de software poco transparentes, lo que enfatiza la importancia de buenas prácticas de seguridad en endpoints y móviles.
8. Conclusiones
El desmantelamiento de infraestructuras como NetNut y Popa demuestra que la lucha contra las redes de proxies residenciales maliciosas es una prioridad para los grandes actores tecnológicos y las entidades de seguridad. No obstante, la sofisticación de estas redes y su capacidad de regenerarse y mutar exige una vigilancia continua, colaboración internacional y la adopción de tecnologías y procedimientos avanzados por parte de empresas y profesionales de la ciberseguridad.
(Fuente: www.cybersecuritynews.es)
