Barracuda full logo

Informe de Malware: Nueva ola de botnets impulsando el caos de DDoS

Temas:
29 ene 2026
|
Tony Burgess

Cómo los botnets están impulsando una nueva era de ataques DDoS implacables

Conclusiones principales

  • Tres importantes botnets — Kimwolf, Aisuru y Mirai (y sus variantes) — están impulsando un aumento en los ataques DDoS altamente automatizados.
  • Los atacantes explotan cada vez más dispositivos IOT y domésticos inseguros, incluyendo dispositivos de streaming Android TV no autorizados en las campañas Kimwolf.
  • Las botnets utilizan patrones de ataque adaptativos, cadenas de explotación masiva y mecanismos de comunicación sigilosos.
  • El problema fundamental: una cadena de suministro global de dispositivos con configuraciones predeterminadas débiles, firmware obsoleto y prácticas de seguridad inconsistentes.

El ecosistema botnet sigue evolucionando rápidamente, impulsado por una avalancha de hardware de consumidores y pequeñas oficinas con poca seguridad. Todo, desde routers y cámaras web hasta dispositivos de streaming de Android TV no autorizados —a menudo enviados con aplicaciones no verificadas o funciones de acceso remoto ocultas— se ha convertido en parte de un sustrato global que alimenta operaciones persistentes de DDoS.

Estas son tres de las amenazas más importantes en el entorno actual.

Kimwolf: un botnet sigiloso que se infiltra redes corporativas y gubernamentales

Tipo: Botnet, DDoS

Malware: Kimwolf

Propagación: Dispositivos IoT comprometidos, equipos domésticos, dispositivos de streaming Android no autorizados

Vector: Debilidades en la cadena de suministro en tecnología de consumo y pequeñas oficinas

Objetivo: Redes corporativas, gubernamentales y municipales

Activo desde: 2025

El botnet Kimwolf se ha incrustado silenciosamente en entornos corporativos, gubernamentales y municipales. Como Krebs on Security informó, “Kimwolf acecha dentro del equipo de oficina cotidiano y de los routers domésticos que nunca fueron reforzados para una exposición a nivel empresarial.”

Informes adicionales muestran que Kimwolf utiliza canales de comunicación sigilosos que cambian dinámicamente para evadir la detección.

Un vector notable en la propagación de Kimwolf involucra dispositivos Android TV no autorizados o clonados, que a veces se envían con malware preinstalado o componentes de acceso remoto inseguros. Una vez conectados a una red doméstica o de pequeña oficina, exponen shells remotos o interfaces de gestión que los atacantes pueden fácilmente convertir en armas.

Dentro de las redes empresariales, los dispositivos comprometidos actúan como puntos de apoyo duraderos, permitiendo el movimiento lateral y convirtiendo la infraestructura interna en participantes involuntarios en campañas de DDoS a gran escala.

Aisuru: El predecesor que estableció récords mundiales de DDoS

Tipo: Botnet, DDoS

Malware: Aisuru

Propagación: Escaneo automatizado y explotación de dispositivos IoT vulnerables

Vector: Autenticación débil, firmware desactualizado y configuraciones predeterminadas inseguras en la cadena de suministro

Objetivo: Redes de consumo y empresariales a nivel mundial

Activo desde: 2024

Antes de Kimwolf, Aisuru mostró cuán destructiva puede ser la explotación automatizada de IoT. Según Cybersecurity Dive, Aisuru impulsó múltiples ataques DDoS que batieron récords, incluida una campaña donde “los volúmenes de tráfico superaron los picos globales anteriores por un margen significativo.”

Aisuru compromete rápidamente modelos de dispositivos predecibles, a menudo hardware IoT de gama baja con firmware obsoleto, infectando miles de dispositivos en cuestión de horas. Estos nodos comprometidos generan inundaciones volumétricas masivas, rotan dinámicamente los vectores de ataque y abruman los sistemas de mitigación globales.

Una campaña característica de Aisuru apuntó a varios proveedores de servicios a la vez, cambiando la carga en tiempo real mientras los defensores intentaban mitigarla. El análisis de amenazas Q325 de Cloudflare explora esta escalada más amplia en la escala y sofisticación de DDoS.

Mirai y la nueva generación de variantes de botnet IoT

Tipo: Botnet, DDoS

Malware: Mirai y variantes modernas (por ejemplo, Satori, restos de Mozi, Katana)

Propagación: Explotación automatizada de dispositivos IoT inseguros

Vector: credenciales predeterminadas, firmware sin parches, servicios expuestos (Telnet/SSH/APIs HTTP)

Objetivo: ISPs, proveedores de alojamiento, plataformas de juegos, redes empresariales periféricas

Activo desde: 2016 (con variantes principales activas hasta 2025)

Casi una década después de su debut, Mirai sigue siendo una de las familias de botnets más persistentes y ampliamente adaptadas en internet. Su resistencia se debe al suministro masivo y siempre renovado de dispositivos IoT inseguros: routers, DVRs, cámaras inteligentes y electrodomésticos de bajo coste que se envían con firmware desactualizado y credenciales fáciles de adivinar.

Las variantes modernas de Mirai se han expandido mucho más allá del botnet original de código abierto. Cepas como Katana, Satori y otras derivaciones emergentes ahora incluyen:

  • Grandes bibliotecas de exploits que apuntan a docenas de vulnerabilidades de IoT a la vez
  • Motores de propagación más rápidos capaces de comprometer miles de dispositivos por hora
  • Técnicas evasivas de comando y control, incluidas la fluctuación de dominios y los canales de comando cifrados
  • Módulos que se actualizan automáticamente, permitiendo a los atacantes distribuir rápidamente nuevos exploits a medida que aparecen.

Los investigadores señalan que muchos dispositivos infectados por Mirai sufren de ciclos de vida de firmware descuidados, lo que significa que rara vez reciben parches, resultando en un grupo duradero de nodos vulnerables que alimentan una actividad sostenida de DDoS.

Reflexiones finales

El crecimiento de botnets como Kimwolf, Aisuru y Mirai subraya una verdad crítica: la cadena de suministro global de dispositivos domésticos e IoT es ahora un campo de batalla central para las operaciones de DDoS.

Los atacantes se benefician de un suministro interminable de hardware inseguro:

  • Dispositivos IoT baratos con configuraciones predecibles
  • Equipos del hogar con interfaces de gestión expuestas
  • Dispositivos que rara vez reciben actualizaciones de firmware
  • Ecosistemas de proveedores con configuraciones predeterminadas débiles y pruebas inconsistentes

Para los defensores el mandato es claro: tratar cada dispositivo conectado a la red, sin importar cuán pequeño, económico o de "grado de consumo" sea, como un posible punto de apoyo para los operadores de botnets.

Explore las capacidades de protección DDoS de BarracudaONE
Tony Burgess

Tony Burgess es un veterano de veinte años en la industria de la seguridad informática y es el redactor senior de Barracuda para contenido y marketing al cliente. En este puesto, investiga temas técnicos complejos y traduce sus hallazgos en prosa clara, útil y legible por humanos.

Puedes conectar con Tony en LinkedIn aquí.

Publicaciones relacionadas:
Informe de Malware: Cuando la cadena de suministro se convierte en la superficie de ataque
Informe de Malware: Cuando la cadena de suministro se convierte en la superficie de ataque
 Un aumento en los ataques de hacktivistas pone en riesgo a todas las aplicaciones web, advierte el NCSC del Reino Unido.
Un aumento en los ataques de hacktivistas pone en riesgo a todas las aplicaciones web, advierte el NCSC del Reino Unido.
Informe sobre malware: Android en el punto de mira — FvncBot, SeedSnatcher, ClayRat
Informe sobre malware: Android en el punto de mira — FvncBot, SeedSnatcher, ClayRat
 Informe de Malware: XWorm, TrickMo y Remcos
Informe de Malware: XWorm, TrickMo y Remcos
Busque en el blog

Informe sobre brechas de seguridad del correo electrónico 2025

Principales hallazgos sobre la experiencia y el impacto de las brechas de seguridad del correo electrónico en organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Informe sobre perspectivas de clientes MSP 2025 

Una perspectiva global sobre lo que las organizaciones necesitan y desean de sus proveedores de servicios gestionados de ciberseguridad.

Obtener el informe

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.