Las autoridades canadienses han arrestado a un hombre de 23 años acusado de operar la botnet KimWolf, una importante red de DDoS por encargo vinculada a ciberataques récord y a más de un millón de dispositivos infectados en todo el mundo.
Según U.S. court documents , Jacob Butler de Ottawa, Canadá, supuestamente gestionaba la botnet bajo el alias online “Dort”. Butler fue arrestado bajo una orden de extradición y ahora enfrenta cargos en Estados Unidos relacionados con ayudar y encubrir intrusiones informáticas. Si es declarado culpable, podría enfrentarse a hasta 10 años de prisión.
Los investigadores afirman que KimWolf operaba como una plataforma de cibercrimen como servicio que permitía a otros delincuentes alquilar acceso a una enorme red de dispositivos comprometidos conectados a internet. La botnet se centró principalmente en dispositivos vulnerables del Internet de las Cosas, incluyendo cámaras web, marcos digitales para fotos, routers, decodificadores Android TV y hardware de streaming.
Una vez infectados, los dispositivos se usaron para lanzar ataques de denegación de servicio distribuidos capaces de saturar servidores y infraestructuras en línea con volúmenes masivos de tráfico de internet. Las autoridades vincularon la botnet a ataques dirigidos a organizaciones de todo el mundo, incluidos sistemas conectados a la Red de Información del Departamento de Defensa de EE. UU.
El Departamento de Justicia de EE. UU. declaró que los ataques asociados a KimWolf alcanzaron casi 30 terabits por segundo, lo que los convierte en algunos de los mayores ataques DDoS publicamente registrados hasta ese momento. Las autoridades dijeron que el botnet emitió más de 25.000 órdenes de ataque antes de que las autoridades interrumpieran su infraestructura a principios de este año.
El arresto sigue a una operación internacional más amplia de aplicación de la ley llevada a cabo en marzo de 2026 que tuvo como objetivo la infraestructura de mando y control detrás de varias botnets importantes de IoT, incluyendo KimWolf, AISURU, JackSkid y Mossad. Autoridades de Estados Unidos, Canadá y Alemania participaron en la operación junto a empresas privadas de ciberseguridad.
Las autoridades dijeron que las cuatro botnets infectaron colectivamente a más de tres millones de dispositivos en todo el mundo. Los investigadores vincularon previamente las redes AISURU y KimWolf a un ataque DDoS hipervolumétrico de 31,4 Tbps que duró aproximadamente 35 segundos y activó automáticamente sistemas de mitigación en los principales proveedores de infraestructura de internet.
Los documentos judiciales indican que los investigadores identificaron a Butler a través de registros de direcciones IP, historiales de transacciones, información de cuentas en línea y registros de mensajes digitales vinculados a la operación botnet. El periodista independiente de ciberseguridad Brian Krebs había vinculado previamente el alias “Dort” con la actividad de KimWolf a principios de este año tras informar sobre acoso y ataques DDoS dirigidos a investigadores de seguridad.
Las autoridades también interrumpieron decenas de servicios adicionales de DDoS por encargo que se cree apoyan el ecosistema más amplio de botnets. Varios dominios incautados fueron redirigidos a páginas de advertencia controladas por las fuerzas del orden que notificaban a los visitantes que los servicios de DDoS por encargo son ilegales.
Los expertos en ciberseguridad advierten que las botnets IoT siguen siendo una de las mayores amenazas para la infraestructura de internet porque muchos dispositivos inteligentes siguen funcionando con firmware obsoleto, servicios expuestos o contraseñas predeterminadas débiles. Una vez comprometidos, los atacantes pueden añadir silenciosamente esos dispositivos a redes botnet capaces de generar enormes volúmenes de tráfico malicioso.