- Google desactiva IPIDEA, una enorme red de proxys residenciales basada en millones de dispositivos comprometidos, muchos de ellos Android.
- Más de 550 grupos de amenazas usaban la infraestructura para ocultar ataques, fraudes y accesos ilegítimos a servicios corporativos.
- La red se nutría de apps y SDK que convertían móviles, televisores y otros dispositivos en nodos de salida sin que el usuario lo supiera.
- Google refuerza los bloqueos y alerta en Europa y el resto del mundo sobre el riesgo de apps que pagan por compartir "ancho de banda".
Google ha llevado a cabo una operación de gran calado contra una de las infraestructuras más relevantes del cibercrimen actual: la red de proxys residenciales IPIDEA. El movimiento, coordinado por su equipo global de inteligencia de amenazas, ha supuesto desconectar millones de dispositivos que estaban siendo utilizados, muchas veces sin que sus dueños lo supieran, para encubrir actividades ilícitas en todo el mundo.
El caso ha generado especial interés entre expertos de ciberseguridad en Europa y España, donde este tipo de servicios se perciben como tráfico «fiable» al proceder de hogares reales. Detrás de esa apariencia inocente se escondía una red comercializada abiertamente que daba servicio a cientos de actores maliciosos, desde grupos de ransomware hasta operadores de fraude financiero y campañas masivas de phishing.
Qué es IPIDEA y cómo funcionaba esta red de proxys residenciales
IPIDEA es descrita por Google como la mayor red de proxys residenciales y móviles jamás documentada, una especie de intermediario, un servidor proxy que ofrecía a ciberdelincuentes acceso a millones de direcciones IP asociadas a viviendas, pequeños negocios y teléfonos móviles. A diferencia de los proxies tradicionales de centro de datos, estas conexiones parecen tráfico cotidiano de usuarios reales, por lo que sus movimientos pasan mucho más desapercibidos.
En la práctica, el servicio operaba bajo un modelo de «proxy-as-a-service» comercializado abiertamente: cualquiera dispuesto a pagar podía alquilar paquetes de direcciones IP residenciales, móviles o rotativas, gestionarlas desde paneles específicos y automatizar miles de conexiones simultáneas. Esta capacidad resulta especialmente atractiva para eludir bloqueos, saltarse límites de acceso o realizar campañas automatizadas sin levantar sospechas inmediatas.
Google detalla que la red recurría a software instalado en una gran variedad de dispositivos: desde smartphones Android hasta televisores inteligentes, routers domésticos, decodificadores de televisión y otros aparatos conectados. Todos ellos se convertían en nodos de salida que redirigían tráfico de terceros, de forma transparente para el propietario del dispositivo. Por lo que conviene conocer cómo ocultar la IP en Android.
Un aspecto especialmente preocupante es que IPIDEA operaba con imagen de servicio legítimo, presentándose como herramienta de anonimización o de acceso a contenidos restringidos. Sin embargo, los datos recopilados por el equipo de inteligencia de Google muestran que buena parte del uso real estaba ligado a actividades claramente ilícitas o, como mínimo, de alto riesgo.
Dispositivos comprometidos: de móviles Android a televisores conectados
Para mantener una red de este tamaño, los operadores de IPIDEA necesitaban millones de direcciones IP residenciales repartidas por países considerados «fiables», como Estados Unidos, Canadá o Estados miembros de la Unión Europea. La clave era lograr que esos dispositivos se conectaran de forma continua y silenciosa a la infraestructura de la empresa, y en ocasiones facilitaban formas de configurar un proxy en la red móvil de Android.
Google explica que IPIDEA y servicios relacionados obtenían ese acceso de varias formas. Una de las más comunes consistía en aplicar técnicas de preinstalación o acuerdos con determinados fabricantes y distribuidores para integrar el software directamente en dispositivos conectados, como decodificadores de televisión o determinados aparatos IoT, que llegaban al cliente con el código ya presente.
Otra vía era el uso de aplicaciones aparentemente inocuas que incluían código de proxy oculto. Se trataba, por lo general, de apps gratuitas de utilidades, juegos sencillos o aplicaciones de contenido, que ofrecían funciones atractivas y se distribuían en tiendas oficiales y de terceros. En su interior integraban kits de desarrollo (SDK) que conectaban el dispositivo a la infraestructura de IPIDEA.
Estos SDK, controlados por los mismos actores que manejaban la red de proxys, pagaban a los desarrolladores por cada descarga o instalación. A cambio, los creadores de las apps permitían que los dispositivos de sus usuarios se convirtieran en nodos de la red, cediendo su ancho de banda e IP para las actividades de los clientes de IPIDEA.
Según los datos recopilados por Google, se identificaron más de 600 aplicaciones Android con código vinculado a IPIDEA, incluyendo utilidades, videojuegos y apps de entretenimiento. El impacto no se limitaba a un solo país: la red tenía presencia global y afectaba tanto a usuarios de Europa como de otras regiones, con especial peso en mercados donde Android es mayoritario.
Más de 550 grupos de amenazas ocultando su rastro tras IPs «limpias»
En apenas siete días de enero de 2026, el equipo de inteligencia de amenazas de Google detectó más de 550 actores maliciosos que se apoyaban en direcciones IP proporcionadas por IPIDEA. Entre ellos figuraban grupos de ciberdelincuencia vinculados a China, Corea del Norte, Irán o Rusia, así como redes especializadas en fraude, robo de cuentas y automatización de bots.
La disponibilidad de IP residenciales y móviles con apariencia «normal» resultaba crucial para estos grupos, ya que les permitía camuflar sus operaciones como si se tratase de usuarios domésticos. Esto complica enormemente la detección por parte de empresas, bancos, plataformas de servicios digitales y organizaciones públicas que suelen confiar más en conexiones procedentes de hogares que en direcciones de centros de datos. Para los usuarios afectados, puede ser recomendable saber cómo cambiar la IP.
Entre las actividades observadas se incluyen accesos no autorizados a entornos corporativos en la nube, ataques de fuerza bruta contra gestores de contraseñas, campañas a gran escala de phishing y robo de credenciales, scraping masivo de webs y servicios online, fraude publicitario y automatización de registros o compras fraudulentas.
IPIDEA no actuaba sola. El análisis de Google apunta a que varias marcas de proxys y VPN aparentemente independientes estaban controladas por los mismos operadores. En la lista aparecen servicios como 922 Proxy, Luna Proxy, Cherry Proxy y distintas VPN, entre ellas Galleon VPN o Radish VPN, además de una variedad de SDK que se integraban en terceras aplicaciones.
Para muchos actores criminales, esta red se había convertido en una pieza estructural del ecosistema de ciberdelincuencia, al ofrecer un «alquiler» estable y escalable de conexiones difíciles de rastrear. La interrupción coordinada supone por tanto un golpe directo a la capacidad de estas organizaciones para operar con el mismo nivel de anonimato.
La operación de Google: orden judicial y bloqueos a gran escala
El desmantelamiento de la red ha sido posible gracias a una operación coordinada del Google Threat Intelligence Group (GTIG), que combinó análisis técnico de gran volumen con medidas legales y acciones sobre la infraestructura implicada. Entre estas medidas destaca el uso de una orden judicial federal estadounidense para tomar el control o desconectar dominios, servidores y sistemas vinculados a IPIDEA.
Esta orden permitió a Google «tirar del hilo» de una enorme cantidad de sitios web y plataformas controladas por la empresa con sede en China, considerados clave en lo que describen como uno de los mayores servicios de proxy residencial del planeta. A partir de ahí, se fueron desactivando los puntos de conexión que unían los dispositivos infectados con los paneles y pasarelas que gestionaban el tráfico.
En el ecosistema Android, la compañía ha reforzado además las defensas con Play Protect, el sistema de protección integrado en el sistema operativo. Este servicio ahora es capaz de advertir a los usuarios cuando detecta aplicaciones que incorporan los SDK asociados a IPIDEA y, en muchos casos, de eliminar automáticamente dichas apps, bloqueando futuros intentos de instalación.
El impacto en la red clandestina ha sido notable: Google estima que unos 9 millones de dispositivos Android han dejado de estar disponibles para los operadores de IPIDEA, reduciendo de forma drástica la capacidad de la red para ofrecer IP residenciales a gran escala. Aun así, la compañía reconoce que la infraestructura no ha desaparecido del todo y que los responsables seguirán intentando reconstruirla o desplazar su actividad a otros servicios similares.
Fuera del universo móvil, la operación también ha afectado a dispositivos conectados presentes en hogares y empresas europeas, desde televisores inteligentes hasta decodificadores de televisión IP o routers con configuraciones débiles. La recomendación de Google en este ámbito es clara: priorizar fabricantes reconocidos, mantener el firmware actualizado y evitar equipos de procedencia dudosa.
Riesgos para los usuarios: tu conexión, al servicio del cibercrimen
Más allá del golpe a la infraestructura criminal, la investigación de Google pone el foco en los riesgos directos para los propietarios de los dispositivos implicados. Al instalar aplicaciones o usar equipos que incluyen estos SDK, el usuario puede estar cediendo su conexión para actividades ilegales sin ser consciente de ello.
En términos prácticos, esto significa que la dirección IP de un hogar o pequeña empresa puede aparecer asociada a intentos de intrusión, fraudes o campañas de spam. Aunque la actividad la lleve a cabo un tercero, el rastro digital apunta a esa conexión, lo que puede generar problemas si algún proveedor de servicios, entidad financiera o incluso organismo público decide investigar determinados movimientos. En ocasiones esto ocurre con ciertos enlaces proxy de Telegram que destapan la IP del usuario.
Además, el software de proxy no se limita a redirigir tráfico. Su mera presencia introduce vulnerabilidades en el dispositivo, ya que abre canales de comunicación adicionales y, en ocasiones, otorga permisos excesivos a aplicaciones que no los necesitan para su función aparente. Esto amplía la superficie de ataque y facilita que otros tipos de malware se aprovechen de esas brechas.
Los expertos en seguridad de Google y otras firmas de ciberseguridad coinciden en señalar que las apps que prometen ingresos «fáciles» por compartir ancho de banda o «internet no utilizado» representan un riesgo especialmente alto. El modelo de negocio incentiva que los desarrolladores integren SDK de este tipo sin informar con claridad al usuario, y se suele orientar a mercados donde el atractivo de estos ingresos extras es mayor.
En Europa, donde el RGPD impone obligaciones estrictas sobre el tratamiento de datos y la transparencia, el uso de este tipo de software plantea también interrogantes legales. Compartir la conexión de un usuario para actividades de terceros sin un consentimiento informado podría entrar en conflicto con la normativa de protección de datos y con diferentes marcos regulatorios nacionales.
Advertencias a empresas y organizaciones europeas
El GTIG subraya que el caso IPIDEA debe servir como aviso para empresas, administraciones públicas y organizaciones de toda Europa. Aunque la red desmantelada era especialmente grande, no es la única de su clase, y los servicios de proxys residenciales y móviles continúan proliferando en el mercado gris y en canales semiabiertos.
Google recomienda que las organizaciones refuercen sus sistemas de detección y respuesta ante tráfico procedente de este tipo de servicios. Entre las medidas sugeridas se encuentran el análisis avanzado de patrones de conexión, la supervisión de accesos anómalos y la correlación de intentos de inicio de sesión sospechosos con listados de IP asociadas a proxys residenciales.
También se insiste en la importancia de implementar autenticación multifactor resistente al phishing. Aunque un atacante logre ocultarse detrás de una IP considerada confiable, la combinación de factores adicionales (como llaves de seguridad físicas o sistemas de verificación robustos) dificulta significativamente el acceso ilegítimo a cuentas corporativas y servicios críticos.
Para sectores especialmente sensibles —banca, sanidad, administración electrónica o proveedores de servicios cloud—, la recomendación pasa por establecer políticas claras sobre el acceso desde redes de proxys o VPN opacos. Esto puede implicar restricciones, mayores controles o la obligación de utilizar herramientas corporativas auditadas en lugar de servicios de anonimización de terceros.
El caso IPIDEA se suma, según Google, a otras operaciones recientes contra botnets, servicios de anonimización abusados por el cibercrimen y plataformas de automatización. La compañía insiste en que interrumpir la infraestructura criminal —no solo el malware en sí— es clave para reducir la capacidad operativa de los atacantes a medio y largo plazo.
Cómo proteger tus dispositivos frente a redes de proxys residenciales
De cara al usuario de a pie, tanto en España como en el resto de Europa, las recomendaciones para evitar terminar siendo parte de una red de proxys residenciales son relativamente sencillas, aunque requieren mantener ciertos hábitos de prudencia digital. No es necesario ser experto en ciberseguridad, pero sí conviene desconfiar de ciertas promesas y revisar qué instalamos.
En el entorno Android, Google recuerda la importancia de mantener Play Protect activado y actualizado, ya que este sistema es capaz de analizar aplicaciones antes y después de su instalación, detectar SDK problemáticos y bloquear software vinculado a IPIDEA y a otras redes similares. Desactivar esta protección para instalar apps de fuentes no verificadas aumenta exponencialmente el riesgo.
También es recomendable limitar la instalación de aplicaciones a tiendas oficiales y evitar repositorios alternativos o descargas desde webs desconocidas, especialmente cuando se trata de juegos gratuitos, herramientas supuestamente milagrosas o apps que prometen recompensas económicas por compartir conexión.
En el caso de dispositivos conectados presentes en el hogar —como televisores inteligentes, decodificadores, enchufes WiFi o cámaras de seguridad—, los especialistas aconsejan adquirir equipos de fabricantes reconocidos, cambiar las contraseñas por defecto y mantenerlos actualizados con los últimos parches de seguridad. Los aparatos muy baratos, de marcas poco conocidas o sin soporte claro pueden convertirse en puerta de entrada a redes de este tipo.
Por último, los usuarios pueden reforzar su seguridad revisando periódicamente los permisos concedidos a las aplicaciones. Si una app de linterna, un juego sencillo o una herramienta aparentemente simple pide acceso a funciones que no necesita, conviene sospechar, revocar permisos o directamente desinstalarla.
La operación contra IPIDEA evidencia hasta qué punto la economía del cibercrimen se apoya en recursos que, en realidad, pertenecen a usuarios corrientes. Móviles, routers y televisores que pensamos que solo usamos nosotros pueden estar sirviendo de tapadera para ataques en cualquier punto del planeta. La acción coordinada de Google, unida a las precauciones de empresas y ciudadanos, marca un punto de inflexión relevante en la lucha contra este tipo de redes, aunque el desafío seguirá evolucionando y exigirá mantenerse alerta frente a nuevas variantes y servicios que aspiren a ocupar el hueco dejado por esta gigantesca infraestructura.
