1 puntos por GN⁺ 2 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Los proxies residenciales desvían el tráfico a través de direcciones domésticas o endpoints de red similares, y están creciendo junto con la demanda de scraping que busca evitar bloqueos a IPs de centros de datos
  • Los sitios web deben mantener abierto el acceso para usuarios comunes mientras filtran el tráfico automatizado no deseado, y el escaneo basado en una sola IP o en servidores cloud suele ser fácil de bloquear rápidamente
  • Las redes de proxies pueden crearse mediante la inserción de SDK en apps, pantallas de consentimiento insuficientes, hackeo de routers o dispositivos baratos con malware preinstalado, y los usuarios pueden convertirse sin saberlo en parte de una botnet
  • Cuando una red doméstica o corporativa se convierte en nodo de salida de proxy, surgen riesgos como consumo de ancho de banda, bloqueo de acceso a sitios web, posibles visitas de agencias de investigación y acceso a la red interna
  • En el hogar se necesita separar los dispositivos importantes y monitorear el volumen de tráfico; en empresas, el bloqueo de dispositivos no identificados, el DNS protegido, la inteligencia de amenazas y la inspección de tráfico son defensas realistas

Por qué se usan proxies residenciales

  • Un proxy residencial suele referirse a un proxy instalado en una dirección doméstica y se usa para actividades como el scraping de sitios web
  • Los servicios de internet deben ofrecer servicio al público general y, al mismo tiempo, detectar y eliminar tráfico no deseado
  • Si se monitorean sitios web importantes desde una única dirección IP, a menudo se bloquea rápidamente
  • Aunque el escaneo se amplíe usando IPs de servidores de varios proveedores cloud, el tráfico de centros de datos puede ser bloqueado en bloque fácilmente
  • La alternativa que aprovecha ese vacío es alquilar endpoints residenciales

Entre el uso legítimo y el abuso

  • El scraping puede ser una actividad no deseada, pero no siempre es ilegal por sí mismo
  • Sin embargo, el scraping intensivo se convierte en un problema operativo que los sitios web deben defender
  • Los usos van desde casos legítimos, como monitoreo de red pago, hasta abusos delictivos
  • Los delincuentes que quieren atacar sitios web también usan proxies residenciales para ocultar su rastro
  • La expansión de la IA y los agentes de IA aumenta aún más la demanda
    • Los proveedores de IA quieren usar contenido de internet para entrenar modelos
    • Los usuarios de IA quieren dar a sus herramientas el mismo acceso sin restricciones del que disfrutan
    • Actualmente se considera que los bots generan más tráfico de internet que los humanos

Intentos de pago para cambiar la economía del scraping

  • Se menciona como posible solución ajustar la economía del scraping haciendo que los bots paguen por el costo de acceso
  • En 2025, Cloudflare propuso la idea de pay-per-crawl y luego creó junto con Coinbase el x402 standard
  • AWS agregó recientemente soporte para este protocolo de pago en su producto WAF

Cómo se construyen estas redes: SDK y consentimiento insuficiente

  • Operar proxies residenciales requiere muchos endpoints de red distribuidos por todo el mundo
  • También existen métodos que, en apariencia, adoptan una forma legal
    • Crear un kit de desarrollo de software para dispositivos masivos como teléfonos y televisores
    • Pagar a desarrolladores de apps para que incluyan el software de proxy en sus aplicaciones
    • En el peor de los casos, el código de proxy se distribuye silenciosamente junto con apps gratuitas
    • Incluso en el mejor de los casos, se muestra una pantalla de consentimiento al usuario final para que acepte operar como nodo de salida de proxy, pero queda la duda de si ese consentimiento fue suficientemente informado
  • El informe de Include Security sobre cómo los smart TV se convierten en nodos de la economía del scraping de IA explica esta estructura
  • Según Synthient, la mayoría de las víctimas son residentes

Métodos ilegales de construcción: hackeo de routers y malware preinstalado

  • Otro enfoque consiste en construir la red por todos los medios posibles, incluso ilegales
  • El hackeo de routers sigue siendo una forma efectiva de construir estas redes
  • Se han documentado casos de algunos dispositivos baratos vendidos con malware de proxy residencial preinstalado
  • Un usuario puede comprar un portarretratos digital para fotos familiares, pero en realidad este puede comportarse como un caballo de Troya y convertirse en parte de una botnet
  • KrebsOnSecurity publicó un informe detallado sobre cómo operan estas redes

Daños para las redes domésticas

  • Con suerte, alguien solo realiza scraping desde la dirección IP del usuario y consume una parte del ancho de banda
  • Si la dirección IP queda vinculada a una red de proxies residenciales, es posible que ya no se pueda acceder a algunos sitios web
  • En un caso peor, alguien puede usar la dirección IP del usuario como punto de paso para un ciberataque, lo que podría derivar en una visita del FBI o de una agencia gubernamental local
  • Las redes de proxies residenciales se usan cada vez más como vía para que delincuentes accedan a la red interna

Riesgo de acceso a la red interna

  • Algunos proveedores afirman restringir el acceso a direcciones IP privadas, pero ese código por lo general no está bien escrito
  • Muchos dispositivos basados en Android parecen salir de fábrica con Android Debug Bridge, diseñado para resolución de problemas por parte del fabricante
  • Dentro de la misma red, estos dispositivos pueden ser rooteados rápidamente
  • También está aumentando la evidencia de tráfico de proxies residenciales en redes corporativas
  • Un informe de Infoblox señala que hasta el 65% de sus clientes de servicios de DNS protegido tienen tráfico dirigido a redes de proxies residenciales
    • Tasa de detección entre clientes: {p:65}

Puntos de defensa para hogares y empresas

  • En el hogar, se puede considerar el uso de redes virtuales para separar los dispositivos importantes del resto
  • Monitorear el volumen de tráfico también ayuda
  • Sin embargo, si alguien en casa puede instalar una app nueva en el televisor, no hay una solución definitiva
  • En entornos corporativos, lo ideal es no permitir dispositivos desconocidos en la red, aunque implementarlo en la práctica no es fácil
  • Un servicio de DNS protegido que conozca las redes de proxies residenciales habituales ayuda a reducir ese tráfico y a encontrar los dispositivos problemáticos
  • Algunos dispositivos pueden eludir el DNS y conectarse directamente a direcciones IP hardcodeadas
  • En esos casos se necesita buena inteligencia de amenazas, además de inspección y monitoreo del tráfico corporativo

1 comentarios

 
GN⁺ 2 시간 전
Comentarios en Lobste.rs
  • Da hasta cierto cinismo preguntarse quién hizo posible que este mercado prosperara 🙄

    • Siendo realistas, el problema de los ~~proxies residenciales~~ botnets es el resultado de que toda la industria lo dejó de lado durante décadas
      Cientos de millones de dispositivos IoT, smart TVs y equipos de red ya no reciben actualizaciones, y en muchos casos sus fabricantes ni siquiera existen
      Algunos salieron de fábrica con malware desde el inicio, pero la mayoría simplemente quedó abandonada, sin que sea responsabilidad de nadie en particular y a la vez un problema de todos
    • Yo diría que esto viene desde que Netflix empezó a empujar con más fuerza el bloqueo de VPNs en la década de 2010
  • Me pregunto si hay una forma sencilla de detectar si los dispositivos de una red doméstica están haciendo este tipo de cosas, aparte de vigilar con un enfoque de hombre en el medio

    • No conozco una forma fácil, pero el artículo de Krebs on Security enlazado por este boletín lleva a su vez a una herramienta proporcionada por Synthient
      Esa herramienta aparentemente permite revisar si mi dirección IP u otra IP tiene rastros de haber sido usada como proxy residencial
      No sé qué tan precisa sea, y parece posible que usar una IP dinámica afecte el resultado
  • En la parte donde dice que “muchos dispositivos basados en Android salen de fábrica con Android Debug Bridge activado para que el fabricante pueda resolver problemas, y que eso permite rootear fácilmente el dispositivo desde la misma red”, ahí mismo dejé de confiar

    • Sí pasa en la vida real
      En laboratorio es muy cómodo usar adb remote en el dispositivo al probar builds nuevos o depurar, y cuando se trabaja iterando rápido da pereza mantener por separado una build de desarrollo y otra para distribución al cliente
      Yo mismo una vez evité que se enviara un dispositivo con ADB totalmente abierto, y en ese momento hice bastante ruido por el tema
      En otros lugares probablemente lo habrían dejado pasar
  • Una de las empresas que vende proxies residenciales es Bright Data, y también aparece en el artículo enlazado
    Según dicen, usan la vía del SDK, incrustando el proxy dentro del SDK que ofrecen
    Meta y X intentaron enfrentarlos, pero perdieron