Qué se desmanteló
El 2 de julio de 2026 el Threat Intelligence Group de Google, junto con el FBI, Lumen, la Shadowserver Foundation y la IRS Criminal Investigation, actuó contra NetNut, una red de proxies residenciales que Google también rastrea como Popa y estima en no menos de 2 millones de dispositivos en todo el mundo. Google desactivó las cuentas y servicios que la red usaba para su mando y control, compartió detalles técnicos de sus SDK ocultos con plataformas e investigadores y actualizó Play Protect para avisar a los usuarios y desactivar las aplicaciones con ese código. El FBI incautó cientos de dominios, incluido netnut.com, que hoy muestra un cartel federal de incautación. La investigación de Krebs on Security vincula el servicio a Alarum Technologies, una empresa cotizada en el Nasdaq, cuyo abogado declaró que se toma el asunto en serio y cooperará plenamente con las autoridades. Es la segunda acción de este tipo en el año, tras la red IPIDEA en enero, y Google afirma que la operación ya ha reducido en millones el parque de dispositivos disponible.
El fin de la IP sospechosa
Una red de proxies residenciales alquila conexiones domésticas corrientes, de modo que el tráfico del atacante llega con la dirección del salón de una familia y no la de un centro de datos extranjero. Justo por eso se vende. En una semana de junio Google contó 316 grupos de amenaza distintos, criminales y de espionaje, usando presuntas salidas de NetNut para ocultar su procedencia, lanzar rociado de contraseñas y, en algunos casos, saltar desde el software proxy a otros dispositivos de la misma red doméstica. Para una empresa española esto rompe una suposición silenciosa incrustada en una década de herramientas de seguridad: que el tráfico peligroso parece peligroso. Cuando el intento de acceso contra sus cuentas llega desde una dirección residencial de su propio país, el bloqueo geográfico y las listas de reputación de IP no saltan. Funcionan los controles que nunca confiaron en direcciones: autenticación multifactor en todas partes, límites por cuenta y no por IP, y alertas sobre el comportamiento en lugar del origen.
Sus dispositivos son el producto
La otra mitad de la historia es de dónde salieron esos 2 millones de salidas: software preinstalado en televisores y decodificadores sin marca antes de la compra, y SDK escondidos en aplicaciones que pagan a sus desarrolladores por su ancho de banda sin usar. El dueño del aparato rara vez sabe que se ha convertido en infraestructura, pero es su dirección la que aparece en los registros de la víctima. Eso convierte la compra de dispositivos en un control de seguridad, no en una preferencia de consumo, en línea con lo que recomienda INCIBE para la higiene del hogar conectado: equipos certificados de fabricantes serios, aplicaciones solo de tiendas oficiales y un no rotundo a todo lo que ofrezca dinero por compartir internet. También reencuadra la propia operación. La persecución se desplaza de detener a atacantes individuales a desmontar los mercados grises de infraestructura que alquilan, y este, señalan los investigadores, funcionaba dentro de una empresa cotizada. Cuando el crimen viaja sobre infraestructura de consumo, protege la disciplina sin brillo: saber qué hay en su red y asumir que una dirección no demuestra nada.
Leer a continuación: Un modelo frontera retirado vuelve a estar en línea · Tu agente confía en una herramienta dañada



