Google ha liderado una operación coordinada para desarticular lo que considera una de las mayores redes de proxies residenciales del mundo, conocida como IPIDEA, una infraestructura utilizada de forma sistemática para ocultar actividades de cibercrimen, espionaje y operaciones de influencia. La iniciativa ha sido impulsada por el Google Threat Intelligence Group (GTIG) junto a otros equipos de la compañía y socios del sector.
el mercado de proxies residenciales sigue creciendo
Según detalla Google en su informe, la operación ha combinado acciones legales, medidas técnicas y cooperación con el ecosistema para inutilizar tanto la infraestructura de mando y control como los canales de distribución del software que permitían alimentar esta red con millones de dispositivos comprometidos.
Proxies residenciales: la infraestructura silenciosa que alimenta el cibercrimen
Las redes de proxies residenciales permiten redirigir tráfico a través de direcciones IP legítimas asignadas a hogares y pequeñas empresas, lo que dificulta enormemente la detección de actividades maliciosas. En el caso de IPIDEA, Google señala que esta infraestructura ha sido utilizada por actores estatales y grupos de cibercrimen para camuflar accesos a entornos corporativos, ataques de fuerza bruta y movimientos laterales.
En un periodo de solo siete días, GTIG observó más de 550 grupos de amenazas distintos utilizando direcciones IP asociadas a nodos de salida de IPIDEA, incluidos actores vinculados a China, Corea del Norte, Irán y Rusia. “Estos proxies son abrumadoramente mal utilizados por actores maliciosos”, subraya el informe de Google.
SDKs y apps legítimas como vector de infección
Uno de los elementos clave de la investigación es el papel de los kits de desarrollo (SDKs) ofrecidos como herramientas de monetización para desarrolladores. Integrados en aplicaciones aparentemente benignas, estos componentes convertían los dispositivos de los usuarios en nodos de salida del proxy sin una información clara ni consentimiento real.
“Los SDKs son el elemento crítico de cualquier red de proxies residenciales: son los que proporcionan a los operadores los millones de dispositivos necesarios para mantener el servicio”, explica Google en su análisis. La compañía identifica además múltiples marcas de proxy y VPN que, pese a presentarse como independientes, comparten control e infraestructura bajo el paraguas de IPIDEA.
Más allá de facilitar actividades criminales, Google advierte de que estos proxies exponen directamente a los consumidores. Al convertirse en nodos de salida, los dispositivos pueden ser utilizados como plataforma para ataques, quedar bloqueados por proveedores o abrir nuevas vulnerabilidades en redes domésticas. En algunos casos, el tráfico no sólo se enruta a través del dispositivo, sino que también se envía hacia él con fines de compromiso, explica la compañía en su informe.
Medidas legales y respuesta del ecosistema
Para frenar esta actividad, Google ha iniciado acciones legales para retirar dominios utilizados para el control de dispositivos y la comercialización de los servicios, además de compartir inteligencia técnica con fuerzas de seguridad y empresas del sector. En Android, la compañía ha reforzado los controles de Google Play Protect, que ahora detecta y elimina automáticamente aplicaciones que incorporan estos SDKs, bloqueando futuras instalaciones.
Según Google, estas acciones han reducido en millones el número de dispositivos disponibles para la red de proxies, con un impacto que se extiende también a servicios asociados por acuerdos de reventa. Aun así, la compañía advierte de que el mercado de proxies residenciales sigue creciendo y lo define como “un mercado gris que prospera gracias al engaño y la falta de transparencia”, reclamando mayor control sobre los SDKs de monetización y una colaboración más estrecha entre plataformas, ISPs y la industria de la ciberseguridad.
