Google golpea a NetNut, una red proxy que usaba millones de dispositivos domésticos

Google ha anunciado una nueva ofensiva contra las redes de proxies residenciales maliciosos, un tipo de infraestructura que permite a ciberdelincuentes esconder su tráfico detrás de conexiones domésticas reales. En esta ocasión, la compañía ha actuado contra NetNut, una red también conocida como Popa, en una operación coordinada con el FBI, Lumen y otros socios del sector.
La medida llega apenas unos meses después de que Google interrumpiera la actividad de IPIDEA, otra gran red de proxies residenciales, en enero de 2026. Con este nuevo golpe, la compañía deja claro que quiere seguir desmantelando un ecosistema que se ha convertido en una pieza clave para ataques informáticos, campañas de espionaje, fraudes online y abusos a gran escala.
Según Google Threat Intelligence Group, NetNut estaría formada por al menos 2 millones de dispositivos repartidos por todo el mundo. Muchos de ellos serían equipos domésticos, como televisores inteligentes, dispositivos de streaming o TV boxes, que habrían acabado actuando como nodos de salida sin que sus propietarios fueran conscientes.
Google golpea a NetNut, una de las mayores redes de proxies residenciales
Google asegura que ha tomado medidas técnicas contra NetNut, una red de proxies residenciales que permitía enrutar tráfico a través de direcciones IP de usuarios particulares. Este tipo de redes se presentan a menudo como servicios para navegar desde distintas ubicaciones, pero también pueden ser utilizadas para ocultar actividades maliciosas.
La operación se ha llevado a cabo en coordinación con el FBI, Lumen y otras organizaciones. El objetivo no ha sido únicamente cortar una parte de la infraestructura, sino reducir de forma significativa la capacidad operativa de NetNut y dificultar que siga prestando servicio a terceros.
Google afirma que sus acciones han degradado de forma importante la red y su negocio, reduciendo en millones el número de dispositivos disponibles para el operador. La compañía también advierte de que el impacto podría extenderse a otras marcas de proxies residenciales, ya que muchas de ellas podrían estar revendiendo o utilizando la infraestructura de NetNut bajo marca blanca.
Qué son los proxies residenciales y por qué son un problema
Un proxy residencial permite que el tráfico de internet pase por una dirección IP asociada a una conexión doméstica real. A diferencia de un centro de datos, una IP residencial suele parecer más legítima ante servicios online, plataformas de comercio electrónico, redes sociales o sistemas de seguridad.
El problema aparece cuando estas redes se construyen usando dispositivos de usuarios que no saben que forman parte de ellas. En la práctica, un atacante puede conectarse a través de la IP de una vivienda y hacer que su actividad parezca proceder de una persona normal navegando desde casa.
Esto puede tener consecuencias serias para el propietario de la conexión. Su dirección IP puede acabar asociada a actividades sospechosas, ser bloqueada por algunos servicios o incluso ser utilizada como punto de partida para ataques, intentos de acceso no autorizado o campañas de abuso online.
Google desactiva cuentas y servicios usados para mando y control
Como parte de la operación, Google ha desactivado cuentas y servicios asociados que, según la compañía, NetNut utilizaba para tareas de mando y control de malware. Este uso viola las condiciones de servicio y la política de uso aceptable de Google.
En el mundo de la ciberseguridad, la infraestructura de mando y control, también conocida como C2, es el sistema que permite a los operadores comunicarse con dispositivos comprometidos o con software malicioso desplegado en ellos. Cortar esa comunicación puede reducir la capacidad de una red para coordinar sus nodos, actualizar componentes o dirigir tráfico.
Además de desactivar cuentas, Google ha compartido información técnica sobre los SDK de NetNut y su infraestructura backend con plataformas, investigadores, fuerzas de seguridad y otros actores del ecosistema. La intención es que más organizaciones puedan detectar, bloquear o tomar medidas contra componentes vinculados a esta red.
Google Play Protect avisará y bloqueará apps con SDK de NetNut
Google también ha reforzado las protecciones para usuarios de Android a través de Google Play Protect, el sistema de seguridad integrado en los dispositivos Android certificados. La compañía afirma que Play Protect avisará automáticamente a los usuarios y desactivará aplicaciones conocidas que incorporen SDK de NetNut.
Este punto es especialmente importante porque muchas redes de proxies residenciales crecen integrando su código dentro de aplicaciones aparentemente normales. En algunos casos, el usuario instala una app sin saber que también está permitiendo que su dispositivo se use para enrutar tráfico de terceros.
Google indica que estas protecciones seguirán funcionando frente a futuros intentos de instalación. Es decir, no se trata solo de eliminar apps ya detectadas, sino de impedir que nuevos paquetes conocidos por incluir estos componentes se instalen o sigan activos en dispositivos protegidos.
Millones de dispositivos domésticos podrían haber sido utilizados
Google Threat Intelligence Group estima que la red de NetNut contaba con al menos 2 millones de dispositivos en todo el mundo. Calcular el tamaño exacto de estas redes es complicado, ya que suelen ser dinámicas, se alimentan de múltiples fuentes y cambian con rapidez.
La compañía señala que NetNut habría poblado su red mediante SDK distribuidos en dispositivos habituales en los hogares, como televisores inteligentes y cajas de streaming. También se han identificado componentes de plugin de NetNut vinculados a grandes botnets como Badbox 2.0.
Esto encaja con investigaciones públicas previas que han descrito cómo ciertos dispositivos Android de bajo coste, especialmente TV boxes y equipos conectados vendidos por canales poco fiables, pueden llegar al usuario con software malicioso preinstalado o con componentes ocultos que los convierten en parte de una red mayor.
Tu televisor o TV box podría acabar actuando como intermediario de un ataque
El riesgo para los usuarios no es solo teórico. Cuando un dispositivo doméstico se convierte en nodo de salida de una red proxy, tráfico no autorizado empieza a pasar por la conexión de casa. Eso significa que actividades de terceros pueden aparecer asociadas a la IP del usuario.
En el peor de los casos, este tipo de comportamiento también puede exponer otros dispositivos de la red doméstica. Si un aparato comprometido comparte la misma red que ordenadores, móviles, cámaras o sistemas domóticos, los atacantes podrían intentar usarlo como puerta de entrada hacia otros equipos.
Además, Google advierte de que algunos usuarios pueden ver cómo su tráfico legítimo empieza a ser marcado como sospechoso o bloqueado por proveedores de servicios. En otras palabras, aunque la víctima no haya hecho nada malo, su conexión puede quedar contaminada por la actividad generada desde el dispositivo comprometido.
NetNut habría sido utilizada por cientos de grupos de amenazas
Durante una sola semana de junio de 2026, Google Threat Intelligence Group observó 316 grupos o clústeres de amenazas distintos utilizando posibles nodos de salida de NetNut. Entre ellos habría tanto actores de ciberdelincuencia común como grupos vinculados a operaciones de espionaje.
Este tipo de infraestructura resulta atractiva para los atacantes porque les permite ocultar su ubicación real. Pueden usarla para acceder a entornos de víctimas, conectarse a su propia infraestructura, lanzar ataques de password spraying o realizar otras actividades que dependen de camuflar el origen del tráfico.
El password spraying consiste en probar una contraseña común contra muchas cuentas distintas, en lugar de atacar una sola cuenta con miles de combinaciones. Al distribuir los intentos a través de muchas IP residenciales, los atacantes intentan evitar bloqueos automáticos y sistemas de detección.
NetNut también se habría usado en botnets Mirai y campañas DDoS
Google señala que informes públicos de firmas como Synthient, Spur, Nokia Deepfield y otros investigadores han documentado el uso de NetNut para infectar dispositivos con variantes de Mirai, una familia de malware muy conocida en ataques DDoS.
Mirai se hizo famosa por aprovechar dispositivos conectados mal protegidos, como cámaras, routers y equipos IoT, para crear enormes botnets capaces de lanzar ataques de denegación de servicio distribuido. Aunque han pasado años desde sus primeras grandes campañas, sus variantes siguen apareciendo en nuevas formas.
La combinación de dispositivos domésticos comprometidos, proxies residenciales y malware para IoT crea un ecosistema especialmente difícil de erradicar. Muchos usuarios no actualizan sus dispositivos conectados, algunos fabricantes abandonan pronto el soporte y otros equipos llegan al mercado con configuraciones inseguras desde el primer día.
Google advierte sobre las apps que pagan por compartir internet
Uno de los consejos más claros de Google va dirigido a las aplicaciones que prometen pagar al usuario a cambio de compartir su «ancho de banda no utilizado» o su conexión a internet. Aunque algunas puedan presentarse como servicios legítimos, Google advierte de que son una de las vías principales para que las redes de proxies maliciosos crezcan.
El problema es que el usuario puede estar aceptando que terceros usen su conexión sin entender realmente las consecuencias. Esa conexión podría emplearse para scraping masivo, fraude publicitario, creación de cuentas falsas, ataques automatizados o intentos de acceso a servicios protegidos.
Por eso, la recomendación es desconfiar de cualquier app que ofrezca dinero por compartir internet, revisar los permisos de VPNs y proxies de terceros, descargar aplicaciones solo desde tiendas oficiales y mantener activas protecciones integradas como Google Play Protect.
También conviene elegir bien los dispositivos conectados que compramos
Google también insiste en la importancia de comprar dispositivos conectados de fabricantes fiables. Esto resulta especialmente relevante en productos como set top boxes, TV boxes, reproductores multimedia baratos o dispositivos Android TV vendidos por canales poco transparentes.
No todos los equipos que parecen Android TV utilizan realmente el sistema oficial Android TV OS ni cuentan con certificación de Play Protect. Esa diferencia es importante, porque los dispositivos certificados pasan por controles de compatibilidad y seguridad que reducen el riesgo de software malicioso preinstalado.
La compañía recuerda que los usuarios pueden consultar la lista actualizada de socios oficiales de Android TV y comprobar si su dispositivo Android cuenta con certificación de Play Protect. Aunque no es una garantía absoluta frente a cualquier amenaza, sí es una capa de protección muy relevante.
El ecosistema de proxies residenciales es difícil de desmantelar
Google reconoce que este tipo de operaciones no acaban con el problema de forma definitiva. El sector de los proxies residenciales es muy fluido, está interconectado y muchos operadores dependen de redes que se revenden entre sí.
Tras la interrupción de IPIDEA en enero de 2026, Google observó que algunas redes podían aparentar resiliencia porque, al perder capacidad propia, empezaban a comprar tráfico o nodos a competidores. De esta forma, un operador debilitado puede convertirse en revendedor de otro proveedor.
Por eso, la compañía considera que las acciones puntuales son útiles, pero insuficientes por sí solas. Para lograr un impacto duradero, Google cree que será necesario actuar contra la infraestructura de varios proveedores conectados, compartir inteligencia técnica y mantener la presión desde plataformas móviles, proveedores de internet, empresas de seguridad y fuerzas de seguridad.
Un aviso para usuarios: la seguridad del hogar conectado importa más que nunca
La operación contra NetNut demuestra hasta qué punto los dispositivos domésticos conectados se han convertido en una pieza codiciada por los ciberdelincuentes. Un televisor, un reproductor multimedia o una pequeña caja de streaming pueden parecer aparatos inofensivos, pero si están comprometidos pueden acabar formando parte de una infraestructura global de ataques.
Para los usuarios, la lección es bastante clara: conviene instalar apps solo desde fuentes fiables, evitar servicios que prometan dinero fácil por compartir conexión, revisar permisos de VPNs y proxies, mantener Google Play Protect activado y comprar dispositivos de marcas reconocidas.
También es recomendable actualizar el firmware de routers, televisores y dispositivos IoT siempre que sea posible, cambiar contraseñas por defecto y retirar de la red aquellos equipos antiguos que ya no reciben soporte.
Google asegura que seguirá vigilando la composición de la red NetNut y cómo reaccionan otros proveedores del ecosistema tras esta operación. Todo apunta a que la batalla contra los proxies residenciales maliciosos continuará, porque se han convertido en una infraestructura demasiado valiosa para quienes quieren ocultar sus actividades en internet.







