Me gustaría empezar este artículo con unas cuantas preguntas:

  1. ¿Qué tienen en común un cubo agujereado y un router viejo?
  2. ¿Podría tu abuela estar ayudando a los ciberdelincuentes?
  3. ¿Por qué hay 5 dispositivos en tu piso pero 6 dispositivos conectados?

Podrás responder a estas preguntas después de leer este artículo.

Empecemos por ver qué tipo de negocio son realmente estos servicios de proxy.

Los servicios de proxy tienen diversos fines, principalmente la extracción de datos, la manipulación del SEO y eludir diversos tipos de bloqueos. Pero también tienen un lado oscuro. Pueden utilizarse para actividades ilegales y sirven como una forma de eludir la detección de la dirección IP real de un atacante.
Cada año, las autoridades de varios países toman medidas contra estos servicios (como SocksEscort), pero tras el cierre de uno, surgen docenas de nuevos. ¿Por qué?
Porque se trata de un esquema muy rentable en el que la gente participa tanto de forma voluntaria como sin darse cuenta.

¿Cuál es la estructura de los servicios de proxy?

How proxy service actually works inside
Cómo funciona realmente un servicio de proxy

Esta es una visualización simplificada de cómo funciona un servicio de proxy típico. Pero incluso aquí, queda claro que utilizan todo tipo de métodos para obtener cada vez más direcciones IP nuevas.

Opción 1: routers y dispositivos IoT vulnerables.

Option 1: Vulnerable routers and IoT devices.
Opción 1: routers y dispositivos IoT vulnerables.

Una dirección IP de acceso público permite a los atacantes probar:

  1. Vulnerabilidades en software obsoleto, como RCE, elusión de autorización, etc. Un ejemplo reciente en el momento de escribir este artículo es un parche de emergencia de TP-Link
  2. Amenazas derivadas de contraseñas predeterminadas (codificadas), como se ve en el ejemplo de D-Link
  3. Ataques de fuerza bruta contra contraseñas (inicio de sesión SSH/Telnet/web)
  4. Uso de interfaces de depuración
  5. Secuestro de CDN y distribución de firmware malicioso
  6. Aprovechamiento de un kernel de Linux antiguo

Tu frigorífico, lavadora o incluso un sensor de CO₂ podrían formar parte de esta red de bots. Cualquier dispositivo que tenga conexión a Internet y al que se pueda acceder desde el exterior, ya sea directamente o a través de DDNS.

Opción 2. Virus en dispositivos móviles o PC.

Los virus en teléfonos móviles o PC que permiten a los atacantes explotar el tráfico móvil o de Internet de la víctima son los más comunes. No hace falta dar ejemplos aquí.

Opción 3. VPN gratuitas.

How "free VPN" works
Cómo funcionan las «VPN gratuitas»

Esta es probablemente la categoría más subestimada, y es lo que hace que estos servicios sean legalmente viables.

Pero, ¿cómo es eso posible? Cuando aceptas los términos del servicio, ahí podría haber cualquier cosa, incluso vender tu alma /s. Aquí, al menos no estás vendiendo tu alma, pero sí estás vendiendo tu tráfico. Ingeniosas lagunas legales hacen que tu pago por utilizar el tráfico del servidor VPN se convierta en permiso para que se utilice tu tráfico.

Pero quizá te preguntes: ¿no es fácil localizar y cerrar un negocio así? No. Bloquearán al usuario «malintencionado» y seguirán operando. Y este enfoque es el más eficaz de todos, porque el usuario ha dado su consentimiento. Nadie lee las varias páginas de políticas de privacidad y condiciones de uso de un programa o servicio. La opción de pagar con Bitcoin en un servicio de proxy no siempre está ahí por comodidad.

Opción 4. «Modelo de negocio real».

Опишите изображение

En este escenario, los atacantes ya cuentan con financiación, que utilizan no solo para adquirir servidores para su servicio, sino también para comprar dispositivos: ordenadores de placa única.
Un dispositivo que cuesta entre 9 y 20 dólares y que se conecta a la red se amortiza en menos de un mes de funcionamiento. Cualquier red abierta o una red con una contraseña conocida —por ejemplo, en un restaurante o una tienda— puede convertirse en un objetivo.

Los atacantes dejan dispositivos alimentados por USB cerca de redes de Internet activas. A menudo eligen ubicaciones donde se sabe de antemano que hay varias redes y pueden cambiar de una a otra. Las variaciones dependen del ingenio del atacante

Opción 5. Otros métodos

Estos métodos son similares a los esquemas basados en el roaming, pero son cada vez menos frecuentes debido al riesgo de ser bloqueados rápidamente, gracias a la rápida respuesta de los proveedores de servicios y al trabajo de los investigadores de seguridad.

¿Cómo puedes evitar convertirte en víctima o cómplice de esta red criminal?

  1. No utilices routers obsoletos. A menudo, para ahorrar dinero, es posible que compres un router que ya no cuenta con el soporte del fabricante y que pueda ser vulnerable. Si el router te lo proporciona tu proveedor de servicios de Internet, consulta con él para confirmar la fecha de fin de vida útil (EoL) del router.
  2. No utilice routers desconocidos de vendedores no verificados. Es posible que ya estén infectados con un virus o que puedan utilizarse para estos fines más adelante.
  3. No confíe en la frase «VPN gratuita». Todo tiene un coste, con la excepción de las grandes empresas cuyas finanzas no dependen de las VPN.
  4. No instales aplicaciones dudosas procedentes de anuncios o de esquemas del tipo «Instala para ganar».
  5. Comprueba el número de hosts en tu red. A menudo, la amenaza está justo al lado.


Pero con el paso del tiempo, estos servicios caerán en el olvido, ya que el análisis de las conexiones de red ya permite identificar patrones en el uso de proxies.
Por eso los delincuentes están intentando ahora sacarles todo el partido posible, atrayendo a usuarios crédulos hacia aplicaciones que prometen «tu teléfono gana dinero mientras está en espera», «cobra por tu uso de datos», «mantente en contacto con tus seres queridos gratis, evita los bloqueos» y otras ofertas promocionales dudosas.

Mantente alerta.