En los últimos años, los ciberdelincuentes han adoptado un enfoque más sofisticado para ocultar sus actividades, utilizando servicios de proxies residenciales que disfrazan el tráfico malicioso como si fuera navegación cotidiana de usuarios comunes. Esta práctica, cada vez más extendida, representa un reto creciente para empresas, instituciones gubernamentales y los sistemas tradicionales de ciberseguridad.
Durante la conferencia Sleuthcon, especializada en delitos informáticos, el investigador Thibault Seret de la firma Team Cymru explicó cómo la presión legal sobre los tradicionales “bulletproof hosts” ha obligado a los actores criminales a migrar hacia soluciones menos detectables. Estos servicios, que históricamente ofrecían infraestructura digital sin restricciones ni supervisión, han sido blanco de acciones legales en varios países, lo que ha reducido su disponibilidad y fiabilidad.
En respuesta, muchos actores han comenzado a usar redes de proxies diseñadas para rotar y ocultar direcciones IP de los usuarios. Estas redes funcionan mediante VPNs especialmente configuradas o a través de sistemas que no registran actividad y que combinan tráfico de múltiples fuentes, dificultando su trazabilidad. Aunque la tecnología no es nueva, el crecimiento de su uso por parte de grupos criminales ha sido notorio en los últimos dos a tres años.
Seret subraya que la principal dificultad radica en que “no se puede distinguir técnicamente qué tráfico dentro de un nodo es malicioso y cuál no”. Esta ambigüedad es precisamente lo que hace que estos servicios sean tan efectivos para evadir controles. Y aunque representan una herramienta legítima para proteger la privacidad de muchos usuarios, también se han convertido en un escudo para actividades ilícitas.
Uno de los servicios más preocupantes en este ecosistema son los llamados “proxies residenciales”. A diferencia de los proxies comunes, estos utilizan dispositivos de consumo —como teléfonos Android antiguos o laptops de baja gama— para generar direcciones IP rotativas que simulan provenir de hogares u oficinas reales. De este modo, el tráfico generado desde estos nodos parece inocente, cuando en realidad puede estar ejecutando ataques dirigidos o distribuyendo malware.
Ronnie Tokazowski, cofundador de Intelligence for Good, afirma que “si los atacantes provienen del mismo rango de IP que los empleados de una empresa objetivo, es mucho más difícil rastrear su actividad”. Esta táctica complica la tarea de los analistas de ciberseguridad, ya que los filtros tradicionales no identifican el tráfico como sospechoso al provenir de fuentes aparentemente confiables.
Este fenómeno no es del todo nuevo. En 2016, el Departamento de Justicia de Estados Unidos ya se enfrentó a dificultades similares durante la investigación de la red criminal Avalanche, que utilizaba una técnica conocida como “fast-flux” para ocultar sus operaciones detrás de proxies que cambiaban constantemente de dirección IP. Sin embargo, la diferencia actual radica en que este tipo de servicios ya no necesita ser desarrollado por los delincuentes: ahora está disponible en el mercado gris como un servicio comercial.
El problema se agrava debido a la naturaleza descentralizada de estas redes. Al operar sobre dispositivos distribuidos y no mantener registros de actividad, los proveedores de proxies residenciales tienen poca o nula capacidad para cooperar con las autoridades. Esto limita severamente la eficacia de las investigaciones criminales, incluso cuando se logra identificar un patrón sospechoso.
Para los expertos, la solución no es sencilla. Seret admite que aún no existe una respuesta clara frente al uso de proxies en actividades delictivas. “Tal vez las fuerzas del orden podrían enfocarse en proveedores conocidos de proxies maliciosos, como lo hicieron con los bulletproof hosts, pero estos servicios están ampliamente distribuidos y también son utilizados por usuarios legítimos”, señala.
Este nuevo escenario plantea la necesidad de adaptar las estrategias de ciberseguridad. Las organizaciones deben implementar herramientas de detección basadas en comportamiento, inteligencia artificial y análisis avanzado de patrones, en lugar de depender únicamente de filtros basados en listas negras o reglas estáticas. Además, se vuelve fundamental fortalecer la colaboración internacional para rastrear y desmantelar infraestructuras delictivas de alcance global.
Desde América Latina, donde muchas empresas aún carecen de sistemas avanzados de ciberprotección, la amenaza de tráfico malicioso encubierto bajo proxies legítimos representa un riesgo significativo. Invertir en capacitación, actualización tecnológica y monitoreo proactivo puede marcar la diferencia ante un entorno digital cada vez más complejo y engañoso.
La creciente adopción de proxies residenciales por parte del crimen organizado digital es un recordatorio claro de que la seguridad cibernética debe ser dinámica, adaptable y multidimensional. No basta con bloquear direcciones IP o cerrar puertos: se requiere una visión integral que anticipe los movimientos de actores cada vez más sofisticados y escurridizos.
Fuente: Wired
