Google desconecta a 9 millones de móviles Android “zombis”: así operaba la red proxy que usaba tu móvil como intermediario

Durante años, millones de móviles Android han podido estar trabajando en secreto para terceros sin que sus dueños lo supieran. Eso es lo que ha destapado una reciente investigación que llevó a Google a cortar el acceso a una gigantesca red proxy de origen chino que afectaba a más de 9 millones de dispositivos en todo el mundo.

Una red que usaba tu teléfono como intermediario

La red descubierta funcionaba como un sistema de “proxy”, es decir, utilizaba teléfonos Android como intermediarios para enviar tráfico de internet en nombre de otras personas o empresas. En la práctica, estos móviles actuaban como nodos de una enorme infraestructura distribuida, permitiendo ocultar la identidad real de quienes estaban usando la red.

Los dispositivos infectados enviaban datos de terceros sin que los usuarios notaran nada. Esto convertía a los teléfonos en una especie de “zombis digitales”: estaban encendidos y funcionando con normalidad, pero parte de sus recursos se usaban para actividades externas. 

Estas actividades las cometía la empresa china IPIDEA, que alquilaba IPs domésticas para ocultar su actividad en Internet y que fue desmantelada por Google. El gigante de la información consiguió una orden judicial federal para desconectar toda la infraestructura de la empresa. 

¿Cómo funcionaba?

El esquema era relativamente simple pero muy eficaz. Algunas aplicaciones y servicios integraban software que, una vez instalado en el móvil, permitía a terceros enrutar tráfico a través del dispositivo.

 Así, los responsables de la red podían aprovechar millones de IP reales repartidas por todo el mundo, algo muy valioso para saltarse bloqueos, evitar detección o realizar operaciones masivas en internet.

Este tipo de redes proxy suelen utilizarse para tareas como scraping de datos, automatización de visitas o incluso actividades más dudosas, como fraude publicitario o ataques coordinados. Lo preocupante es que los usuarios rara vez eran conscientes de que su teléfono formaba parte de esta infraestructura.  

Esta captación se sustentaba en SDKs (software) integrados en más de 600 aplicaciones aparentemente legítimas y correctas, como juegos o apps de negocios. 

El fin de IPIDEA

El ataque de Google ha sido por varios frentes, empleando tanto maniobras judiciales como técnicas. Tumbaron páginas dedicadas a publicitar su servicio y procedieron a cortar su infraestructura.

También endureció las medidas de seguridad de su servicio de aplicaciones, evitando la proliferación de estas apps maliciosas vinculadas a esta empresa. 

La acción de Google se considera una de las mayores operaciones contra redes proxy maliciosas en Android, ya que el número de dispositivos afectados era enorme y la operación llevaba funcionando durante años sin ser detectada a gran escala.

Este incidente demuestra que no todos los riesgos en Android vienen de virus clásicos o troyanos evidentes. A veces, el problema está en aplicaciones aparentemente legítimas que incluyen funciones ocultas para monetizar o explotar los dispositivos del usuario.

Además, usar tu móvil como proxy puede tener consecuencias: mayor consumo de datos, batería más baja, desgaste del hardware y, en algunos casos, riesgos legales si el tráfico se usa para actividades ilícitas. 

Si bien el riesgo nulo no existe, es evidente que evitar descargar aplicaciones de fuentes desconocidas es una medida excelente para evitar este problema, especialmente después de que Google se blindase ante esto.