Mi nombre es Francisco Venegas Aros y, como especialista en Ciberseguridad y Gobernanza de TI, he encontrado pocas radiografías tan claras y alarmantes sobre la infraestructura que sostiene el cibercrimen a nivel global.
Un informe impactante de «Hunt.io», publicado el 14 de enero de 2026, proporciona cifras concretas sobre lo que muchos ya sospechábamos: China no solo es una potencia en la manufactura de hardware, sino que se ha convertido en un gran anfitrión de la infraestructura de «Comando y Control» (C2) que respalda el malware responsable de los ataques contra Occidente. En esta investigación se identificaron más de 18,000 servidores C2 activos en apenas tres meses. Esto no es una simple anécdota; es una maquinaria de ciberdelincuencia operando a plena capacidad.
La Industrialización del Cibercrimen
Este estudio revela una concentración y escala inquietantes. No estamos hablando de servidores ocultos en un pequeño comercio; la mayor parte de esta infraestructura existe en instalaciones de grandes proveedores «legítimos» como China Unicom—que alberga casi la mitad de todos los servidores C2 detectados—y sorprendentemente, incluye también a Alibaba Cloud y Tencent.
Desde un punto de vista técnico, el escenario es preocupante. El malware predominante no es nuevo, es infraestructura reutilizada y persistente. El líder indiscutible es Mozi, una botnet IoT que representa más de la mitad de la actividad, utilizando cámaras y enrutadores como «soldados zombi». Sin embargo, lo más alarmante para las empresas es la proliferación de Cobalt Strike y herramientas de post-explotación como ARL y Viper, que son las preferidas por los grupos de ransomware y APTs (Amenazas Persistentes Avanzadas) para moverse lateralmente dentro de las redes comprometidas.
El informe resalta un aspecto crítico: la reutilización de infraestructura. Los mismos servidores en la red troncal de China Unicom o en la red académica CERNET se utilizan simultáneamente para campañas de phishing masivo, minería de criptomonedas y espionaje estatal. Se ha creado un ecosistema de «Crimen como Servicio» donde la infraestructura es tan económica y accesible que los atacantes ni siquiera se preocupan por ocultarla.
El Enemigo en la Nube
¿Te debería preocupar que un servidor en Beijing tenga malware? Absolutamente, porque ese servidor es el responsable de enviar correos de phishing a tu gerente de finanzas o de escanear tu firewall en busca de puertos abiertos.
Imagina que tu empresa sufre una intrusión. El atacante no necesariamente operará desde una IP desconocida; podría estar utilizando una dirección IP de un proveedor de nube legítimo como Alibaba o Tencent, lo que a menudo escapa a los filtros de reputación básicos. Si tu equipo de seguridad detecta tráfico hacia una IP de «Tencent Cloud», ¿lo bloquearían de inmediato, o asumirían que se trata de actividad legítima? Esa incertidumbre es lo que ellos aprovechan. La confianza que depositamos en grandes proveedores de infraestructura se ha convertido en una vulnerabilidad.
¿Cómo Defenderse?
No podemos desconectar a China del Internet, pero podemos fortalecer nuestras defensas. Aquí algunas recomendaciones:
- Inteligencia de Amenazas (CTI) en Tiempo Real: Las listas negras estáticas ya no son suficientes. Necesitas fuentes de inteligencia que identifiquen y bloqueen dinámicamente las IPs de C2 conocidas, como las asociadas a Cobalt Strike y Mozi.
- Geo-bloqueo Inteligente: Si tu negocio no opera en Asia, ¿por qué permites tráfico entrante o saliente a rangos de IP en esa región? Implementa reglas de Geo-IP estrictas en tu firewall perimetral y bloquea todo el tráfico innecesario.
- Caza de Amenazas Proactivo: Monitorea tus registros en busca de señales de comunicación con C2. Herramientas como Cobalt Strike tienen firmas de tráfico específicas (beacons). No esperes a recibir una alerta; busca las anomalías.
- Segmentación de Dispositivos IoT: Dado que Mozi ataca dispositivos IoT, asegúrate de que tus cámaras, impresoras y sensores estén en una red (VLAN) aislada, sin acceso directo a Internet ni a tu red corporativa principal.
La Visibilidad es Poder
Este informe nos revela la magnitud del adversario. Su infraestructura es extensa y formidable, pero también ruidosa y detectable si sabemos dónde buscar. La ciberseguridad ya no se trata únicamente de proteger lo tuyo; implica también entender el mapa del terreno enemigo y cómo opera.
Si deseas implementar una estrategia de Ciberinteligencia que proteja a tu organización de amenazas globales y te permita anticiparte a estos ataques, no dudes en contactarme.
Francisco Venegas A. CEO & Founder | CyberBaum SPA Experto en Ciberseguridad y Gobernanza TI
The post ¡Expuestos 18.000 Servidores destinados para el cibercrimen! appeared first on Revista Seguridad & Defensa.
Con Información de revistaseguridad.cl