- Google ha desmantelado una gigantesca red de proxies residenciales vinculada a Ipidea, usada para ocultar actividades delictivas online.
- Millones de dispositivos, sobre todo móviles Android y equipos conectados, fueron convertidos en nodos sin conocimiento de sus dueños.
- Más de 600 apps y múltiples VPN y servicios de proxy estaban conectados a la misma infraestructura clandestina.
- La compañía ha bloqueado SDK y aplicaciones maliciosas y llama a extremar precauciones con apps gratuitas que pagan por compartir ancho de banda.
El ecosistema de la ciberdelincuencia global ha recibido un golpe serio tras una operación coordinada liderada por el equipo de inteligencia de amenazas de Google. La compañía ha conseguido desarticular lo que considera la mayor red de proxies residenciales conocida hasta la fecha, un entramado que llevaba años funcionando prácticamente en la sombra y que daba cobertura a todo tipo de actividades ilícitas.
El objetivo principal de la operación ha sido Ipidea, una empresa de origen chino poco conocida fuera de los círculos de seguridad informática, pero muy popular entre actores maliciosos que necesitaban camuflar su rastro en Internet. A través de su infraestructura, millones de dispositivos repartidos por todo el mundo, incluidos hogares en Europa y España, se convirtieron en piezas de una red que alquilaba su conexión a terceros sin que los verdaderos propietarios fueran conscientes.
Qué es una red de proxies residenciales y por qué es tan problemática
Para entender la magnitud del caso, conviene aclarar qué es un proxy residencial. A diferencia de los servidores de proxy clásicos o de muchas VPN, que se alojan en centros de datos fáciles de identificar, los proxies residenciales se apoyan en direcciones IP asignadas a viviendas y pequeños negocios. Es decir, el tráfico parece salir de un domicilio normal, no de una infraestructura técnica profesional.
En la práctica, esto significa que un ciberdelincuente puede navegar, lanzar ataques o probar credenciales como si lo hiciera desde el router de una familia en Madrid, un comercio en Berlín o un piso en París. Para los sistemas de defensa, ese tráfico tiene apariencia de usuario legítimo, lo que complica enormemente el bloqueo por listas negras o filtros geográficos.
La red desmantelada se apoyaba en programas instalados en todo tipo de equipos: smartphones Android con malware preinstalado, televisores inteligentes, routers, decodificadores y otros dispositivos conectados. Una vez dentro, el software desviaba parte del ancho de banda del usuario para que otros pudieran utilizar su IP, todo ello sin avisos claros ni consentimiento informado en la mayoría de los casos.
Este tipo de infraestructuras se utilizan para actividades muy variadas: desde saltarse restricciones geográficas y hacer scraping masivo hasta acceder de forma no autorizada a servicios corporativos, probar combinaciones de usuario y contraseña mediante ataques de fuerza bruta o servir de apoyo a estafas y fraudes online. El atractivo para los atacantes es evidente: anonimato barato y de alta calidad.
Ipidea: el «Airbnb» del Internet de tu móvil al servicio del cibercrimen
Según la información publicada por Google y medios especializados, Ipidea se había convertido en una referencia mundial entre grupos de ciberdelincuentes que necesitaban ocultar su ubicación real. El modelo de negocio se parecía, salvando las distancias, a un “Airbnb” del tráfico de Internet: se alquilaba el acceso a las conexiones de otras personas, muchas veces sin que estas lo supieran.
El esquema funcionaba de forma relativamente sencilla: aplicaciones gratuitas, juegos o herramientas aparentemente inofensivas incluían en su interior código que conectaba con la infraestructura de Ipidea. Al instalar esa app, el dispositivo pasaba a formar parte de la red de proxies, quedando su IP disponible para terceros que pagaran por el servicio.
Google ha detallado que, solo en Android, identificó más de 600 aplicaciones con código vinculado a Ipidea. La mayoría se presentaban como utilidades, juegos casuales o apps de contenido, muchas de ellas dirigidas a usuarios que buscan soluciones rápidas y gratuitas. Parte de estos programas utilizaban kits de desarrollo de software (SDK) ofrecidos por la propia Ipidea y servicios asociados, que prometían ingresos por cada instalación.
Para los desarrolladores, el gancho era económico: cobrar por descarga o por uso del SDK, integrando estos módulos en sus apps sin que el usuario final entendiera realmente qué estaba aceptando. En la práctica, cada instalación añadía otro nodo a una red global que se revendía, a su vez, como servicio de proxy residencial de alta calidad.
Además de Ipidea, el análisis de Google ligó a la misma infraestructura otros nombres comerciales, como 922 Proxy, Luna Proxy, Cherry Proxy y servicios de VPN como Galleon VPN o Radish VPN. Detrás de todo ello, según la investigación, operaban los mismos actores, aunque con diferentes marcas para segmentar mercados y ganar apariencia de legitimidad.
La operación de Google: de la investigación al bloqueo masivo
El punto de inflexión se produjo cuando el equipo de inteligencia de amenazas de Google detectó un volumen inusual de actividad maliciosa asociado a IP gestionadas por Ipidea. En tan solo siete días de enero de 2026, la compañía registró más de 550 campañas y amenazas que se apoyaban en su red, con participación de grupos vinculados a China, Corea del Norte, Irán y Rusia.
Entre las actividades observadas se encontraban intentos de acceso no autorizado a entornos corporativos en la nube, ataques de fuerza bruta contra gestores de contraseñas, pruebas masivas de credenciales y movimientos preparatorios para operaciones más complejas. El uso de IP residenciales fiables, muchas de ellas situadas en Estados Unidos, Canadá y Europa, hacía que el tráfico pasara más desapercibido.
Para actuar contra esta estructura, Google recurrió a una orden judicial federal en Estados Unidos que le permitió intervenir dominios, servidores y otros componentes relacionados con la red. A partir de ahí, la compañía coordinó el cierre y bloqueo de una gran cantidad de sitios web y sistemas que daban servicio al entramado de proxies residenciales.
La ofensiva no se limitó a la infraestructura visible. Google también puso el foco en el ecosistema Android, donde Play Protect pasó a marcar, bloquear e incluso desinstalar automáticamente aplicaciones que incorporaban los SDK de Ipidea y servicios afines. Cualquier intento futuro de instalar esas apps vuelve a ser vetado por el sistema de seguridad.
Según las estimaciones compartidas por la compañía, esta operación ha supuesto dejar fuera de juego alrededor de 9 millones de dispositivos Android que hasta ahora formaban parte de la red. A eso habría que sumar otros equipos conectados (como televisores o routers) afectados por el bloqueo de dominios y servicios asociados.
Vínculos con otras redes maliciosas y botnets a gran escala
Ipidea no es un nombre nuevo para los investigadores de seguridad. Ya en el pasado se había relacionado su tecnología con Kimwolf, una de las mayores botnets documentadas, que llegó a controlar cerca de dos millones de sistemas integrados. Esa red se empleó, entre otras cosas, para lanzar ataques de denegación de servicio distribuida (DDoS) de enorme potencia.
La conexión entre proxies residenciales y botnets no es casual. Ambos modelos se apoyan en convertir dispositivos ajenos en infraestructuras de terceros, ya sea para generar tráfico masivo, ocultar el origen de un ataque o saturar un servicio hasta tumbarlo. Cuantos más equipos controlados, mayor capacidad de operación.
En el caso de Ipidea y su red de proxies, los investigadores apuntan a una estrategia doble: monetizar el acceso a IP residenciales para clientes de pago y, al mismo tiempo, poner esa infraestructura al servicio de campañas maliciosas de mayor escala. La mezcla de servicios aparentemente comerciales con usos abiertamente delictivos ha sido una constante en este tipo de plataformas.
Aunque la empresa asegura oficialmente que se opone a cualquier actividad ilegal y que sus servicios tienen fines legítimos, los datos recopilados por Google muestran un uso intensivo por parte de grupos de ciberdelincuentes y actores vinculados a estados. La propia compañía habría reconocido, según las filtraciones, que en el pasado se publicitó en foros frecuentados por hackers, aunque afirma haber abandonado esa práctica.
La acción de Google no cierra por completo el capítulo, ya que parte de la red sigue activa y los responsables pueden intentar reconstruirla con nuevos dominios, apps u operadores. No obstante, el golpe a su capacidad operativa es significativo y envía un mensaje claro a otros proveedores que juegan al límite de la legalidad.
Impacto para usuarios en España y Europa: riesgos y consecuencias
Más allá de la dimensión global, el caso tiene implicaciones directas para usuarios y empresas en España y el resto de Europa, donde las direcciones IP residenciales gozan de una reputación especialmente valiosa. Para muchos sistemas antifraude, el tráfico procedente de hogares europeos suele considerarse más fiable que el de ciertos países o centros de datos.
Cuando un dispositivo entra en estas redes, su propietario no solo cede su IP, sino que abre una puerta adicional a posibles vulnerabilidades. El software que se instala para actuar como nodo de salida puede introducir fallos de seguridad, permitir otras formas de control remoto e incluso afectar al rendimiento general del equipo y de la conexión.
En el plano legal y reputacional, el escenario también es delicado. Aunque el usuario no tenga intención alguna de colaborar con actividades ilícitas, su IP puede aparecer asociada a intentos de intrusión, fraudes, envío de spam o accesos a servicios sensibles. En casos extremos, esto puede derivar en bloqueos, revisiones de seguridad adicionales o investigaciones por parte de proveedores y plataformas.
Google insiste en que aceptar ofertas para “compartir ancho de banda no utilizado” o “alquilar tu conexión” entraña riesgos importantes. Muchas de estas propuestas se presentan como formas fáciles de ganar dinero desde casa, pero en la práctica convierten el router o el móvil del usuario en una pieza más de una red que puede servir para encubrir delitos.
En el ámbito de los dispositivos conectados, como televisores, cajas multimedia o routers inteligentes, la recomendación es clara: apostar por fabricantes reconocidos y evitar equipos de procedencia dudosa que puedan venir con software preinstalado difícil de auditar. Mantenerlos actualizados y revisar periódicamente qué aplicaciones tienen acceso a la red es una buena práctica que, en la Unión Europea, encaja además con el impulso normativo hacia una mayor seguridad por diseño.
Cómo detectó Google la red y qué papel juega Play Protect
La investigación comenzó a raíz de patrones de comportamiento anómalos. El equipo de Google observó que múltiples campañas de ataque aparentemente independientes utilizaban bloques de direcciones residenciales que, al analizarlos en detalle, llevaban a la misma infraestructura controlada por Ipidea y servicios satélite.
Mediante análisis de tráfico, correlación de dominios, certificados y componentes de software, los expertos fueron tirando del hilo hasta identificar una constelación de aplicaciones, SDK y servicios VPN conectados entre sí. El mapa resultante mostraba una red masiva que funcionaba casi como un proveedor de anonimización a gran escala.
En el ecosistema Android, la pieza clave de la respuesta ha sido Google Play Protect, el sistema de protección integrado en los dispositivos con servicios de Google. Este mecanismo es capaz de examinar apps antes y después de su instalación, lanzar advertencias al usuario, bloquear programas considerados peligrosos e incluso eliminarlos de forma automática.
En el caso de Ipidea, Play Protect ha pasado a marcar específicamente las aplicaciones que integran sus SDK o aquellos relacionados con la red desmantelada. Cuando se detecta una de estas apps, el sistema puede mostrar alertas de seguridad, impedir su instalación o borrarla si ya se encuentra en el dispositivo, cortando así la conexión con la infraestructura de proxies residenciales.
Esta capacidad dinámica es especialmente relevante en un contexto en el que los atacantes cambian de táctica con rapidez. Hoy utilizan una familia de apps; mañana, otras nuevas con nombres y diseños distintos, pero apoyadas en la misma lógica maliciosa. La monitorización continua y las actualizaciones silenciosas de las reglas de Play Protect permiten responder con más agilidad que en modelos basados solo en listas estáticas.
Consejos prácticos para no acabar en una red de proxies sin saberlo
La operación contra Ipidea deja varias lecciones claras para cualquier usuario, tanto en España como en el resto de Europa. La primera es casi de sentido común, pero sigue siendo necesaria: desconfiar de las aplicaciones que prometen dinero fácil simplemente por instalarse o “compartir Internet”. Nada es gratis, y en ciberseguridad menos todavía.
También conviene limitar al máximo la instalación de apps procedentes de fuentes no oficiales. Utilizar las tiendas oficiales (como Google Play) no garantiza al 100 % la seguridad, pero sí reduce el riesgo y permite que sistemas como Play Protect hagan su trabajo. En el caso de tener que recurrir a tiendas alternativas, es importante valorar su reputación y comprobar qué permisos solicita cada aplicación.
En dispositivos Android, merece la pena revisar periódicamente la lista de apps instaladas y eliminar aquellas que no se conozcan o que no se utilicen. Muchas veces se mantienen programas olvidados que siguen ejecutándose en segundo plano y que pueden formar parte de redes como la de Ipidea sin levantar sospechas.
Para empresas y organizaciones, la recomendación pasa por reforzar políticas de seguridad en móviles corporativos y equipos conectados, incluyendo controles de instalación, soluciones de gestión de dispositivos (MDM) y auditorías regulares. En entornos donde se maneja información sensible, cualquier eslabón débil, por pequeño que parezca, puede convertirse en un punto de entrada para un ataque mayor.
Por último, no está de más prestar atención a señales aparentemente triviales: un consumo inusual de datos, un router que se satura sin motivo o un móvil que se calienta y pierde rendimiento pueden ser pistas de que algo no va bien. No siempre será un proxy residencial, pero ante la duda, una revisión con herramientas de seguridad fiables puede evitar disgustos mayores.
Con esta operación, Google ha reducido de forma drástica la capacidad de una red que llevaba años explotando la confianza en las conexiones domésticas y móviles para encubrir actividades de alto riesgo. Aunque el problema de los proxies residenciales y las botnets dista mucho de estar resuelto, la caída parcial de la infraestructura de Ipidea muestra que, con investigación técnica, cooperación internacional y un usuario algo más prudente, es posible complicar la vida a quienes se apoyan en millones de dispositivos ajenos para delinquir en segundo plano.
