Las autoridades estadounidenses y canadienses han arrestado y acusado a un canadiense acusado de operar la botnet KimWolf, una enorme red de ciberdelincuencia vinculada a algunos de los mayores ataques de denegación de servicio distribuida (DDoS) jamás divulgados públicamente.
Según documentos judiciales destapados en el Distrito de Alaska, Jacob Butler, de 23 años, de Ottawa, Canadá, presuntamente operaba la botnet KimWolf bajo el alias online “Dort”. Las autoridades canadienses arrestaron a Butler el miércoles en virtud de una orden de extradición estadounidense, y ahora se enfrenta a cargos relacionados con ayudar y encubrir intrusiones informáticas. Si es declarado culpable, podría enfrentarse a hasta 10 años de prisión.
Los investigadores afirman que KimWolf funcionaba como una plataforma de DDoS por encargo que infectó millones de dispositivos conectados a internet en todo el mundo, incluyendo marcos de fotos digitales, cámaras web, cajas de streaming basadas en Android y otro hardware de Internet de las Cosas (IoT). Los dispositivos comprometidos supuestamente fueron alquilados a ciberdelincuentes que utilizaron la infraestructura para lanzar ataques a gran escala contra servicios y redes en línea.
El Departamento de Justicia de EE. UU. informó que KimWolf estaba relacionado con ataques que alcanzaron casi 30 terabits por segundo, lo que las autoridades describieron como un volumen récord de ataques DDoS en ese momento. Las autoridades también relacionaron la botnet con ataques dirigidos a rangos de IP de la Red de Información del Departamento de Defensa y a miles de otros sistemas en todo el mundo.
Las autoridades estiman que la botnet realizó más de 25.000 comandos de ataque y causó daños financieros que superaron millones de dólares a algunas víctimas. Investigadores que rastreaban el malware informaron previamente que KimWolf se expandió rápidamente tras explotar debilidades en redes proxy residenciales y dispositivos Android vulnerables.
El arresto sigue a una operación internacional más amplia de aplicación de la ley llevada a cabo en marzo de 2026, durante la cual las autoridades incautaron infraestructuras de mando y control asociadas con KimWolf y tres botnets relacionados identificados como Aisuru, JackSkid y Mossad. Los investigadores afirmaron que las cuatro botnets infectaron colectivamente a más de tres millones de dispositivos IoT en todo el mundo.
Por otro lado, las autoridades de California también incautaron infraestructuras relacionadas con 45 servicios de DDoS por encargo que se cree apoyan operaciones cibercriminales. El Departamento de Justicia informó que varios dominios asociados a los servicios fueron redirigidos a páginas de advertencia controladas por las fuerzas del orden que notificaban a los visitantes que la actividad de DDoS por encargo es ilegal.
Según se informa, las agencias policiales vincularon a Butler con KimWolf utilizando registros de direcciones IP, historiales de transacciones, datos de cuentas en línea y pruebas obtenidas por plataformas de mensajería mediante procesos legales. Los investigadores también relacionaron al sospechoso con campañas de acoso en línea dirigidas a investigadores de ciberseguridad que seguían el crecimiento de la botnet.
Investigadores en ciberseguridad advierten que las botnets IoT siguen siendo una amenaza importante porque los dispositivos conectados a internet mal protegidos suelen quedar expuestos en línea con contraseñas débiles, firmware obsoleto o vulnerabilidades sin parchear. Una vez infectados, los dispositivos pueden ser controlados remotamente y armados en campañas DDoS a gran escala capaces de interrumpir infraestructuras críticas en línea.