Investigadores de seguridad alertaron sobre una nueva amenaza informática que ha logrado comprometer en secreto más de 14.000 dispositivos conectados a internet en todo el mundo, formando una red utilizada para realizar ciberataques difíciles de detectar o bloquear.
El malware, bautizado como KadNap, ha infectado principalmente routers de la marca Asus. Una vez comprometidos, estos dispositivos son utilizados para redirigir tráfico malicioso y facilitar ataques informáticos a gran escala.
Los detalles de esta botnet fueron revelados por expertos de la compañía de ciberseguridad Lumen en un informe reciente. Según los investigadores, el sistema utiliza una arquitectura descentralizada de tipo peer-to-peer, lo que le permite ocultar su infraestructura y evitar con mayor facilidad los mecanismos de detección habituales.
Una botnet se forma cuando delincuentes logran infiltrarse en dispositivos conectados a internet —como routers, cámaras o electrodomésticos inteligentes— y los controlan sin que sus propietarios lo sepan. Estos aparatos pasan entonces a formar parte de una red que puede emplearse para lanzar ataques de denegación de servicio distribuido (DDoS), saturando páginas web o servicios en línea hasta dejarlos fuera de funcionamiento.
El informe advierte que, a medida que aumenta la cantidad de dispositivos del llamado Internet de las Cosas (IoT) conectados a la red, también crecen las oportunidades para que actores maliciosos aprovechen fallos de seguridad y los utilicen para sus propios fines.
Los especialistas señalan que estas redes de dispositivos comprometidos se diseñan específicamente para ocultar el origen real del tráfico malicioso, dificultando el trabajo de los sistemas de defensa y de los investigadores. La mayoría de los dispositivos afectados por KadNap se encuentran en Estados Unidos, aunque también se han identificado casos en países como Reino Unido, Australia, Brasil, Rusia y varias naciones europeas.
Para los propietarios de routers infectados, el malware puede pasar prácticamente desapercibido. En muchos casos, el único indicio podría ser una ligera disminución en la velocidad de conexión a internet. Además, el diseño descentralizado de la red implica que no existe un servidor central que pueda ser desconectado fácilmente por las autoridades, lo que hace que esta botnet sea particularmente resistente a los intentos de desmantelarla.
Los investigadores también indican que el acceso a esta red de dispositivos comprometidos se comercializa a través de un servicio llamado Doppelganger, cuyos usuarios pueden utilizarla para realizar ataques de fuerza bruta u otras campañas de explotación dirigidas. Debido a ello, advierten que cada dirección IP vinculada a esta botnet representa un riesgo persistente tanto para organizaciones como para usuarios individuales.
