A finales de octubre, los analistas de Cloudflare detectaron un fenómeno insólito: un dominio desconocido se había colado entre los más visitados del planeta, incluso por encima de búsquedas en Google. Lo que parecía una simple anomalía de tráfico escondía algo mucho más inquietante: el servidor de control de una enorme red de dispositivos infectados.
Dicha red, bautizada como Kimwolf, se ha confirmado como la botnet para Android más grande jamás registrada, con al menos 1,8 millones de dispositivos comprometidos.
Kimwolf: la mayor botnet para Android descubierta hasta ahora
Según el medio estadounidense Tom’s Guide, Kimwolf se basa en un código derivado del antiguo malware Aisuru, pero con mejoras que complican su detección. Este nuevo software malicioso se propaga a través de archivos APK manipulados, y una vez instalado, se ejecuta silenciosamente en segundo plano.
Kimwolf representa una amenaza sin precedentes para el ecosistema Android por su tamaño y sofisticación, advierte un portavoz de la firma de ciberseguridad Xlab.
Hemos rastreado su infraestructura y comprobado que puede controlar millones de dispositivos sin que los usuarios lo noten, explicó Xlab en su informe.
Cómo opera esta botnet y por qué es tan peligrosa
Una de las características más preocupantes de Kimwolf es su función de shell inversa, que permite a los atacantes acceder a los dispositivos directamente desde la línea de comandos. Con este método, los ciberdelincuentes pueden descargar malware adicional, modificar archivos o ejecutar órdenes a distancia.
Además, la red funciona como un servicio proxy masivo, capaz de redirigir tráfico y ocultar la ubicación real de los atacantes, lo que la convierte en una herramienta ideal para ataques DDoS o para evadir los bloqueos de IP.
Los investigadores descubrieron que la mayoría de los dispositivos comprometidos son tablets, TV boxes o smartphones Android sin certificación de Google, especialmente aquellos basados en AOSP (Android Open Source Project). Estos equipos, fabricados por marcas desconocidas o no verificadas, carecen de las protecciones que ofrece Play Protect.
Millones de hogares afectados en más de 220 países
Los expertos de Xlab han confirmado que muchos de los dispositivos afectados se encuentran en hogares particulares, lo que convierte a Kimwolf en una amenaza global y silenciosa. La mayoría de direcciones IP afectadas se localizaron en Brasil, India y Estados Unidos, aunque el alcance total supera los 220 países.
Consejos para protegerte del malware Kimwolf
Para reducir riesgos, los especialistas recomiendan:
- Comprar dispositivos Android certificados por Google, con Play Protect activo.
- Evitar productos de bajo coste o sin marca, especialmente TV boxes y tablets desconocidas.
- Instalar apps solo desde Google Play Store y no mediante “carga lateral” (sideloading).
- Actualizar el firmware periódicamente y usar contraseñas seguras.
Seguir estas precauciones puede marcar la diferencia entre un dispositivo seguro y uno convertido en parte de una red criminal global.