El **Centro Nacional de Ciberseguridad del Reino Unido (NCSC-UK)** y socios internacionales han emitido una severa advertencia: los hackers patrocinados por el estado chino están utilizando cada vez más vastas redes de dispositivos de consumo comprometidos para evadir la detección y disfrazar su actividad maliciosa. Este aviso conjunto, co-firmado por agencias de Estados Unidos, Australia, Canadá, Alemania, Japón, Países Bajos, Nueva Zelanda, España y Suecia, destaca un cambio significativo en las tácticas. La mayoría de los grupos de hackers chinos han abandonado la infraestructura adquirida individualmente en favor de extensas botnets de dispositivos comprometidos, dirigidas principalmente a routers de pequeñas oficinas y oficinas en casa (SOHO), cámaras conectadas a Internet, grabadoras de video y equipos de almacenamiento conectado a la red (NAS). ### Funcionalidad de las Botnets Estas masivas botnets permiten a los atacantes enrutar el tráfico a través de cadenas de dispositivos comprometidos. El tráfico ingresa a la red en un punto, pasa por múltiples nodos intermedios y sale cerca del objetivo previsto, oscureciendo efectivamente la verdadera ubicación del atacante y evitando la detección geográfica. "El NCSC cree que la mayoría de los actores de amenazas con nexos en China están utilizando estas redes [...], que se han creado múltiples redes encubiertas y se están actualizando constantemente, y que una sola red encubierta podría estar siendo utilizada por múltiples actores", [lee el aviso conjunto](https://www.ncsc.gov.uk/news/executive-summary-defending-against-china-nexus-covert-networks-of-compromised-devices). "Estas redes están compuestas principalmente por routers SOHO comprometidos, así como por dispositivos de Internet de las Cosas (IoT) y dispositivos inteligentes." <div> <figure> <figcaption><em>Configuración básica de red encubierta (NCSC-UK)</em></figcaption> </figure> </div> ### Ejemplos Notables de Botnets Una de estas masivas botnets chinas, conocida como **Raptor Train**, infectó más de 260.000 dispositivos en todo el mundo en 2024. El **FBI** vinculó **Raptor Train** con actividades maliciosas atribuidas al grupo de hackers **Flax Typhoon**, patrocinado por el estado chino, y a la empresa china **Integrity Technology Group** (sancionada en enero de 2025). El **FBI** interrumpió **Raptor Train** en septiembre de 2024 con la ayuda de investigadores de **Black Lotus Labs** después de vincularla con campañas dirigidas a entidades en los sectores militar, gubernamental, de educación superior, telecomunicaciones, base industrial de defensa (DIB) y TI, principalmente en EE. UU. y Taiwán. Una red separada (**KV-Botnet**) fue utilizada por el grupo de amenazas **Volt Typhoon**, respaldado por el estado chino, y consistía principalmente en routers **Cisco** y **Netgear** vulnerables que estaban desactualizados y ya no recibían parches de seguridad. El **FBI** también interrumpió **KV-Botnet** eliminando malware de los routers infectados en enero de 2024, pero **Volt Typhoon** comenzó a revivirla lentamente en noviembre de 2024 después de un intento inicial fallido en febrero. ### Implicaciones y Mitigación "Las operaciones de botnets representan una amenaza significativa para el Reino Unido al explotar vulnerabilidades en dispositivos cotidianos conectados a Internet con el potencial de llevar a cabo ciberataques a gran escala", dijo Paul Chichester, Director de Operaciones del **NCSC-UK**. Las agencias de inteligencia occidentales que firmaron el aviso advirtieron que las defensas tradicionales basadas en el bloqueo de listas estáticas de direcciones IP maliciosas son cada vez menos efectivas a medida que estas botnets agregan continuamente nuevos nodos comprometidos. En cambio, se aconseja a los defensores de redes en organizaciones pequeñas, medianas y grandes que implementen autenticación multifactor, mapeen los dispositivos de borde de red, aprovechen las fuentes de amenazas dinámicas que incluyen indicadores conocidos de redes encubiertas y, siempre que sea posible, apliquen listas de IP permitidas, controles de confianza cero y verificación de certificados de máquina.