Las botnetes basadas en la tecnología IoT se están convirtiendo en una verdadera catástrofe en materia de ciberseguridad. Además, la infraestructura relacionada con estas redes ya está comprometida.

El reciente éxito en la eliminación de cuatro enormes redes de bots es una victoria táctica, pero se trata de algo efímero, teniendo en cuenta los cambios estructurales que están ocurriendo. Estamos presenciando el surgimiento de un problema persistente, relacionado con la infraestructura digital: la adopción exponencial de dispositivos conectados y baratos está creando una vasta plataforma digital utilizada como herramienta para ataques. No se trata ya de ataques esporádicos; se trata de un nuevo paradigma en el que las bases fundamentales de Internet están siendo comprometidas.

La escala del problema es abrumadora. Las redes botnet que fueron desmanteladas, como Aisuru, Kimwolf, JackSkid y Mossad, en conjunto, infectaron a numerosas personas.Más de 3 millones de dispositivosNo se trataba de servidores ni centros de datos. Se trataba de dispositivos IoT comunes, que utilizamos sin pensarlo dos veces: routers, webcams, televisores inteligentes. Esta mercantilización de los dispositivos terminales es el aspecto central del crecimiento exponencial de estas redes botnet. Cada nuevo dispositivo inteligente puede convertirse en un “soldado” potencial para estas redes. Y es el volumen total de estos dispositivos lo que hace que estas redes botnet sean tan poderosas.

El mercado para esta infraestructura “armada” está madurando rápidamente, lo que reduce la barrera para que los actos delictivos se vuelvan prácticamente imposibles. El caso del servicio proxy SocksEscort es un ejemplo claro de esto. Este servicio vendía acceso a una red de bots.Alrededor de 369,000 direcciones IP diferentes.Proviene de routers infectados, y ofrece paquetes por tan solo 15 dólares al mes. No se trata simplemente de lanzar ataques DDoS; se trata de crear una red global y anónima para fines de fraude, secuestro de datos y otros tipos de delitos. Este servicio ha funcionado durante años.Más de 369,000 enrutadores y dispositivos IoT han sido comprometidos.A nivel mundial, esta es la definición de una capa de amenazas que puede ser escalable y comercializada.

En resumen, las medidas de aplicación de la ley, aunque necesarias, son como la poda de una sola rama de un árbol que crece de manera exponencial. La adopción de dispositivos vulnerables continúa sin cesar. La infraestructura para los ataques digitales se está integrando en la estructura de nuestras vidas conectadas. Esto crea un riesgo constante y evolutivo, que superará cualquier acción individual para detenerlo. El paradigma ha cambiado; ahora las bases están comprometidas.

El impacto económico y operativo: el costo del mundo conectado

El impacto operativo de estas botnets ya se está haciendo sentir, lo que resulta en interrupciones masivas y sin precedentes. El botnet Aisuru, por ejemplo, lanzó ataques que alcanzaron su punto más alto…29.7 Tbps y 14.1 mil millones de paquetes por segundoEsto no es un test teórico de resistencia al estrés; se trata de la capacidad real de una infraestructura armada para enfrentarse a situaciones difíciles. Para tener una idea más clara, esta cantidad de tráfico supera simplemente las barreras de seguridad de los centros de datos convencionales, lo que hace que las defensas tradicionales se vuelvan inútiles. El resultado es una saturación repentina y devastadora en las actividades digitales de una organización, antes incluso de que los equipos internos puedan reaccionar.

Las víctimas están pagando un precio muy alto por esta nueva realidad. La naturaleza especializada en extorsiones de muchos de estos ataques significa que las empresas sufren pérdidas financieras directas. Algunas víctimas han informado sobre esto.Decenas de miles de dólares en pérdidas y gastos de reparación.Esto no se trata simplemente de los tiempos de inactividad; se trata también del costo de intentar contener un ataque, restablecer los servicios y pagar los rescates necesarios. La asimetría económica en este caso es evidente. Los operadores de botnets, utilizando una red global de dispositivos comprometidos, pueden lanzar campañas que les cuestan relativamente poco. Sin embargo, el impacto en un único objetivo puede ser catastrófico, lo que lleva a la pérdida de millones de ingresos y costos de mitigación. Se trata, en realidad, de un modelo de guerra asimétrica aplicado a la economía digital.

Esto genera un costo exponencial y persistente para llevar a cabo actividades comerciales en el mundo conectado. Cada nuevo dispositivo IoT vulnerable se suma al arsenal de los atacantes, reduciendo su costo marginal de entrada, mientras que aumenta la exposición potencial de las víctimas. Los volúmenes de ataques son tan altos que demuestran que esta infraestructura no es simplemente una amenaza; es, en realidad, una herramienta escalable y de alta capacidad. Para las empresas, la resiliencia ya no es solo una cuestión técnica; se trata de un aspecto importante dentro del presupuesto operativo, debido a la adopción constante de puntos finales inseguros. Las redes están comprometidas, y los costos se pagan en tiempo real.

El panorama de amenazas en constante cambio: desde los ataques DDoS hasta la explotación basada en la confianza entre las partes involucradas.

La infraestructura del botnet que hemos identificado es solo la primera fase de este proceso. La verdadera transformación está ocurriendo en las tácticas de los atacantes: pasan de utilizar métodos de fuerza bruta para invadir sistemas, a adoptar estrategias basadas en la explotación de herramientas internas de confianza. La era en la que se podía simplemente superar un firewall ya está desapareciendo. Los adversarios de hoy calculan cuidadosamente sus acciones, utilizando el “Medida de Efectividad” para elegir el camino más fácil para lograr el máximo impacto. Esto significa que los atacantes buscan aprovechar herramientas internas de confianza para lograr sus objetivos.Google Calendar, Dropbox y GitHubSe trata de un modelo sofisticado y discreto, que prioriza los resultados sobre las apariencias. Permite moverse lateralmente y extraer datos, sin activar alarmas.

Esta evolución está afectando de manera grave las infraestructuras críticas. Las tecnologías operativas y los sistemas de control industrial se han convertido en el objetivo principal de estos efectos negativos.El 18.2% de los incidentes de ciberseguridad en el período 2024-2025 involucraron tecnologías de control y automatización industrial.La amenaza ya no es teórica; se ha convertido en algo real y operativo. Actores vinculados al estado están preparándose para utilizar estas redes con fines de beneficio a largo plazo. Como se puede ver con grupos como Volt Typhoon, que han comprometido routers de tipo “utility”. El FBI ha advertido que estos no son operaciones de reconocimiento, sino preparativos para ataques destructivos durante una crisis. Esto convierte a la ciberseguridad en un aspecto fundamental de la seguridad nacional, donde un único punto final comprometido puede representar una amenaza para los sistemas físicos.

La respuesta defensiva debe reflejar este cambio. La seguridad tradicional en el perímetro ya no es suficiente contra los atacantes que ya han ganado una posición dominante. El nuevo paradigma requiere una base unificada que integre la conectividad, la visibilidad y la seguridad en todos los niveles digitales, desde la nube hasta las instalaciones físicas de la fábrica. Como señala el Informe sobre Ciberseguridad de 2026, las organizaciones deben…Unificar la conectividad, la visibilidad y la seguridad en cada capa de su infraestructura digital.Esto no se trata de agregar más soluciones puntuales; se trata de construir una infraestructura inteligente y resistente que pueda detectar y responder a las intrusiones sutiles y de alto nivel de confianza que definen la próxima fase de la curva de amenazas. Las infraestructuras ya están comprometidas, y los atacantes ahora pueden aprovechar esa situación en su beneficio.

Catalizadores, riesgos y lo que hay que vigilar: La carrera por lograr una infraestructura segura

La trayectoria de desarrollo de la amenaza de los botnets es una carrera entre dos curvas exponenciales: la adopción incesante de dispositivos vulnerables y el lento y desigual desarrollo de infraestructuras seguras. El riesgo principal es que las acciones de represión por parte de las autoridades legales son solo contramedidas temporales frente a un crecimiento mucho más rápido por parte del atacante. La eliminación de cuatro botnets masivos fue una victoria táctica importante, pero esto solo elimina la capa de comando y control. La infraestructura subyacente, es decir, los millones de dispositivos IoT inseguros, permanecen intactos. Mientras el ritmo de adopción de estos dispositivos inseguros supere el ritmo de implementación de medidas de seguridad sólidas, el arsenal del atacante seguirá creciendo, a menudo más rápido de lo que se puede eliminar.

El próximo factor importante que contribuirá a este proceso será la integración de la inteligencia artificial por parte de ambas partes. La IA acelerará el ciclo de innovación ofensiva y adaptación defensiva, creando así una nueva fase en la carrera armamentística. Los atacantes utilizarán la IA para automatizar el descubrimiento de nuevas vulnerabilidades, desarrollar malware más eficaces y optimizar sus tácticas de explotación. Por su parte, los defensores utilizarán la IA para detectar anomalías en tiempo real, modelar amenazas de manera predictiva y responder de forma automática. No se tratará de un cambio puntual, sino de una competencia constante y cada vez más intensa, donde el margen de error disminuye para todos los involucrados.

Sin embargo, el factor clave para lograr un cambio permanente en la curva de amenazas será la adopción de nuevas reglas de seguridad estandarizadas para los dispositivos IoT, así como la implementación de principios de seguridad desde el diseño del producto. Este es el cambio fundamental necesario para frenar el crecimiento de las amenazas. En este momento, el mercado prioriza la velocidad de lanzamiento de productos sobre la seguridad, lo que genera una gran superficie de ataque. La presión regulatoria y los estándares industriales que requieren que se cumplan ciertos requisitos de seguridad, como el arranque seguro, el parcheo regular de vulnerabilidades y contraseñas predeterminadas únicas, servirán como un poderoso freno para el crecimiento exponencial de los dispositivos comprometidos. La carrera es para construir sistemas digitales seguros antes de que llegue la próxima ola de ataques contra las infraestructuras críticas.