Los investigadores advierten que los proxies residenciales utilizados para enrutar tráfico malicioso son un problema importante para los sistemas de reputación de IP, ya que no hay una distinción clara entre atacantes y usuarios legítimos. Esto se debe principalmente a que los proxies residenciales son de muy corta duración, no están involucrados o se rotan sistemáticamente, lo que impide que los sistemas de defensa los cataloguen de manera efectiva a tiempo. **GreyNoise**, una plataforma de inteligencia de ciberseguridad, llegó a esta conclusión después de examinar un conjunto masivo de datos de 4 mil millones de sesiones maliciosas dirigidas al borde durante un período de tres meses. ### Hallazgos Clave * Aproximadamente el 39% de estas sesiones parecen originarse en redes domésticas, lo que sugiere fuertemente que forman parte de redes de proxies residenciales. * Un significativo 78% de estas sesiones son invisibles para los feeds de reputación. “Los datos revelan un patrón que desafía una suposición central de la defensa de red: que se puede distinguir a los atacantes de los usuarios legítimos por el origen del tráfico”, explica **GreyNoise**. Según la compañía, la mayoría de las IP residenciales se utilizan solo una o dos veces antes de desaparecer, y los atacantes las rotan lo suficientemente rápido como para evitar ser marcadas por los sistemas de reputación. * Aproximadamente el 89.7% de las IP residenciales están activas en operaciones maliciosas durante menos de un mes. * Solo el 8.7% permanece activo durante dos meses. * Un mero 1.6% persiste durante tres meses. Aquellas IP que permanecen activas durante períodos prolongados tienden a especializarse, centrándose en SSH y utilizando pilas TCP de Linux, según los investigadores.  La diversidad complica aún más los esfuerzos de detección y bloqueo. Los datos de **GreyNoise** indican que las IP residenciales que participan en ataques pertenecen a 683 proveedores de servicios de Internet diferentes. Otro factor que contribuye a su sigilo es su uso principal para escaneo de red y reconocimiento. Solo el 0.1% está involucrado en exploits reales, señalaron los investigadores. Un pequeño porcentaje (1.3%) se dirigió a páginas de inicio de sesión de VPN empresariales, mientras que casos limitados también involucraron IP residenciales en intentos de traversal de directorios y credential stuffing. En cuanto al origen de estos proxies residenciales, **GreyNoise** identifica a China, India y Brasil como los principales contribuyentes. El tráfico de estas IP sigue patrones de sueño humano, disminuyendo aproximadamente un tercio por la noche, cuando la mayoría de los usuarios apagan sus dispositivos.  Los investigadores informan que el tráfico de proxies residenciales es generado por dos ecosistemas distintos y no superpuestos: botnets de IoT y computadoras infectadas. En este último caso, los proxies se originan en SDK incrustados en VPN gratuitas, bloqueadores de anuncios y aplicaciones similares, que inscriben los dispositivos de los usuarios en esquemas de venta de ancho de banda. **GreyNoise** también destacó la resiliencia de estas redes, citando el ejemplo de **IPIDEA**, una de las redes de proxies residenciales más grandes del mundo. **Google Threat Intelligence Group (GTIG)** y sus socios interrumpieron recientemente **IPIDEA**. La interrupción redujo su grupo de proxies en aproximadamente un 40%, pero el tráfico de centros de datos aumentó después, lo que indica que la demanda puede ser absorbida por otros proveedores y que la capacidad perdida se reemplaza rápidamente.  ### Estrategias de Mitigación **GreyNoise** enfatiza que las tácticas de evasión de proxies residenciales exigen alejarse de la reputación de IP como señal principal y centrarse en el análisis de comportamiento en su lugar. Los investigadores recomiendan: * Detectar sondeos secuenciales de IP residenciales rotatorias. * Bloquear protocolos claramente ilegítimos como SMB desde el espacio de ISP. * Rastrear huellas digitales de dispositivos que persisten a pesar de la rotación de IP.