Kimwolf: la botnet silenciosa que convirtió 1,8 millones de televisores Android en un arma digital global

La ciberseguridad global vuelve a encender las alertas. Una nueva y poderosa botnet, bautizada como Kimwolf, ha logrado secuestrar al menos 1,8 millones de dispositivos Android, entre ellos televisores inteligentes, decodificadores de TV y tabletas, para ejecutar ataques de denegación de servicio distribuido (DDoS) a una escala sin precedentes. El hallazgo fue revelado por el equipo de investigación QiAnXin XLab, y sus implicaciones van mucho más allá de lo técnico: estamos frente a una nueva fase en la industrialización del cibercrimen.

Lo que hace particularmente inquietante a Kimwolf no es solo su tamaño, sino su capacidad evolutiva, su relación directa con otras botnets infames y el tipo de dispositivos que ha logrado comprometer. A diferencia de los ataques tradicionales que explotaban servidores o computadoras personales, Kimwolf se apoya en un ejército silencioso que habita los hogares: Smart TVs y TV Boxes que, para millones de usuarios, son simples electrodomésticos.

Según el informe de XLab, Kimwolf llegó a emitir más de 1.700 millones de comandos de ataque DDoS en apenas tres días, entre el 19 y el 22 de noviembre de 2025. La magnitud fue tal que uno de sus dominios de comando y control (C2), 14emeliaterracewestroxburyma02132[.]su, alcanzó el primer lugar del ranking de los 100 dominios más consultados de Cloudflare, superando incluso, de forma momentánea, a gigantes como Google.

Este dato no es menor. Cloudflare gestiona una porción significativa del tráfico global de Internet, y aparecer en esa lista es una señal inequívoca de actividad masiva y coordinada. En otras palabras: Kimwolf no estaba probando, estaba operando a plena capacidad.

¿Qué dispositivos están en riesgo?

Los principales objetivos de Kimwolf son los decodificadores de TV Android instalados en redes residenciales. Entre los modelos identificados por los investigadores se encuentran:

  • TV BOX
  • SuperBOX
  • HiDPTAndroid
  • P200
  • X96Q
  • XBOX
  • SmartTV
  • MX10

Las infecciones se distribuyen a nivel global, con concentraciones particularmente altas en Brasil, India, Estados Unidos, Argentina, Sudáfrica y Filipinas. Este patrón refleja una realidad incómoda: los dispositivos Android de bajo costo, muchas veces vendidos sin soporte de seguridad ni actualizaciones, se han convertido en un blanco ideal para los atacantes.

Hasta el momento, el vector exacto de infección sigue siendo desconocido, aunque se sospecha de combinaciones de aplicaciones maliciosas, firmware modificado o servicios expuestos en redes domésticas mal configuradas.

¿Qué es una botnet?

Para entender la gravedad del caso Kimwolf, es clave detenernos un momento y explicar un concepto fundamental.

Una botnet es una red de dispositivos infectados por malware que son controlados de forma remota por uno o varios atacantes, sin que sus propietarios lo sepan. Cada dispositivo comprometido se convierte en un “bot” o “zombi”, capaz de ejecutar órdenes como:

  • Lanzar ataques DDoS
  • Reenviar tráfico como proxy
  • Enviar spam
  • Alojar contenido malicioso
  • Minar criptomonedas
  • Participar en fraudes publicitarios

Lo más preocupante es que la víctima rara vez nota algo extraño. El televisor sigue funcionando, la tablet reproduce contenido y el usuario continúa su vida digital con normalidad, mientras su conexión a Internet está siendo utilizada para fines criminales.

Las botnets gigantes no son nuevas. En 2016, Mirai marcó un antes y un después al demostrar que los dispositivos IoT podían ser usados como armas digitales. Desde entonces, hemos visto botnets como Badbox, Bigpanzi, Vo1d y ahora Kimwolf, cada vez más sofisticadas y masivas.

La diferencia clave es que los atacantes han aprendido. Ya no dependen solo de routers o cámaras IP; ahora apuntan a televisores inteligentes, que combinan potencia, conectividad permanente y una superficie de ataque amplia.

Kimwolf y su vínculo con AISURU

Uno de los hallazgos más relevantes de XLab es la conexión directa entre Kimwolf y la botnet AISURU, responsable de algunos de los ataques DDoS más grandes del último año.

Los investigadores creen que los atacantes reutilizaron código de AISURU en las primeras versiones de Kimwolf, para luego evolucionar hacia una botnet independiente, diseñada específicamente para evadir sistemas de detección y derribo.

Esta hipótesis se apoya en múltiples evidencias:

  • APKs subidos a VirusTotal con certificados de firma idénticos
  • Uso de los mismos scripts de infección entre septiembre y noviembre
  • Coexistencia de ambas botnets en los mismos dispositivos
  • Un servidor de descarga activo (93.95.112[.]59) que referenciaba ambos proyectos

La conclusión de XLab es clara: Kimwolf y AISURU pertenecen al mismo grupo de hackers.

Uno de los aspectos más inquietantes de Kimwolf es su capacidad de adaptación. En diciembre de 2025, los dominios C2 de la botnet fueron derribados al menos tres veces por actores desconocidos. Lejos de desaparecer, Kimwolf respondió con una mejora significativa de su infraestructura.

Los atacantes comenzaron a utilizar Ethereum Name Service (ENS) para ocultar y proteger sus servidores de comando y control, una técnica conocida como EtherHiding. En versiones recientes del malware, el dominio ENS pawsatyou[.]eth se utiliza para obtener dinámicamente la IP real del C2 a través de un contrato inteligente en la blockchain de Ethereum.

Este enfoque dificulta enormemente los esfuerzos de desmantelamiento, ya que no existe un servidor central tradicional que pueda ser apagado fácilmente.

Cómo funciona Kimwolf

Desde el punto de vista técnico, Kimwolf está compilada utilizando el Android NDK (Native Development Kit) y presenta una arquitectura relativamente sencilla pero efectiva:

  1. Garantiza que solo una instancia del malware se ejecute
  2. Descifra el dominio C2 incrustado
  3. Usa DNS sobre TLS para resolver la IP del servidor
  4. Establece comunicación cifrada mediante TLS
  5. Recibe y ejecuta comandos

El malware soporta 13 métodos diferentes de ataque DDoS utilizando UDP, TCP e ICMP, y tiene como principales objetivos infraestructuras en Estados Unidos, China, Francia, Alemania y Canadá.

Un dato revelador del análisis de XLab es que más del 96% de los comandos observados estaban relacionados con servicios proxy, no con ataques directos. Esto indica que Kimwolf no es solo una herramienta de sabotaje, sino también una plataforma de monetización criminal.

Los atacantes explotan el ancho de banda de los dispositivos infectados para:

  • Ofrecer servicios proxy anónimos
  • Redirigir tráfico
  • Facilitar actividades ilícitas de terceros

Incluso se detectó la integración del SDK ByteConnect, una solución de monetización que permite convertir tráfico de dispositivos IoT en ingresos, difuminando aún más la línea entre cibercrimen y “modelo de negocio”.

El caso Kimwolf confirma una tendencia preocupante: los hogares se han convertido en el nuevo campo de batalla de la ciberseguridad. Cada dispositivo conectado —desde un televisor hasta una consola— representa una posible puerta de entrada para ataques a gran escala.

Para usuarios, fabricantes y gobiernos, el mensaje es claro: la seguridad ya no puede ser un extra opcional. Sin actualizaciones, sin controles y sin conciencia digital, el próximo gran ataque podría estar gestándose silenciosamente en la sala de estar de millones de personas.

En un mundo donde “todo está conectado”, la pregunta ya no es si un dispositivo puede ser atacado, sino cuándo y para qué será utilizado.

ENRED continuará monitoreando la evolución de Kimwolf y otras amenazas emergentes, porque entender el riesgo es el primer paso para enfrentarlo.

Comparte este artículo:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Quizás también te interese leer

Descubre más artículos de interés en nuestra revista: análisis, tendencias y noticias clave que te ayudan a entender el presente y anticipar lo que viene en tecnología, negocios e innovación.

Ecuador Tech Week 2026: El Epicentro de la Innovación y el Futuro Tecnológico en Latinoamérica

Innovar en la intemperie: El drama de las pymes ecuatorianas

Humana lidera la Transformación Digital en la Medicina Prepagada de Ecuador

Growlat impulsando el futuro del E-commerce a través de los datos

Agricultura global en la encrucijada: Cómo generar valor sostenible en tiempos de cambios

Open Innovation y Soft Landing: La visión transfronteriza de Eugenia Di Marco para el ecosistema de Ecuador

Venture Capital en Ecuador: El espejismo del emprendimiento dinámico

La innovación impulsada por un propósito: La brújula del crecimiento sostenible

La revolución de la cultura organizacional: Innovación Abierta según Iván Terceros

Ecosistemas exponenciales y la transformación del talento en Ecuador y LATAM: La visión de Diana Di Tolla

Liderazgo con propósito: Se aproxima el 3er Congreso Emprendedoras CEO

Negocio a Ritmo: La resiliencia tecnológica se consolida como el motor estratégico empresarial

Innovación abierta: El verdadero desafío es la cultura, no la tecnología

MCKINSEY FORUM ECUADOR: UN ENCUENTRO PARA REFLEXIONAR SOBRE EL CRECIMIENTO, LA PRODUCTIVIDAD Y EL FUTURO DEL PAÍS

SLB y FIDAL impulsan la educación CTIAM en Ecuador con un nuevo espacio de innovación y aprendizaje

SeshSurf: cómo un agente de IA bien entrenado es un aporte invaluable

La nueva era de las fintech: IA, activos digitales y caminos innovadores para el éxito

La arquitectura eficiente de las plataformas tecnológicas garantiza continuidad operativa 

El salto digital: La llave de la productividad empresarial en el Ecuador del futuro

Transformación Digital: El nuevo tablero de la educación en Ecuador

Suscribirse a Boletines

Recibe en tu correo nuestros últimos artículos y mantente al día con el contenido que publicamos de forma constante.