Conclusión clave: El FBI incautó NetNut el 2 de julio de 2026 porque su suministro “residencial” era la botnet Popa, formada por unos dos millones de dispositivos de consumidores infectados, el mismo modelo de origen vía SDK de consumidor que Google desmanteló en IPIDEA en enero. Reemplazarlo por otro pool residencial obtenido de la misma forma conserva el riesgo de incautación y solo cambia el logo. La alternativa a NetNut que sí perdura es otro modelo: proxies móviles tomados de dispositivos reales y con consentimiento, con cada solicitud registrada y atribuible, de modo que no queda ninguna botnet de terceros que una operación pueda incautar.
El 2 de julio de 2026, el FBI derribó a uno de los proveedores de proxies residenciales más conocidos del mercado. Si enrutabas tráfico a través de NetNut, la lección útil no es “buscar otra red residencial”, sino entender por qué esta era incautable desde el principio y elegir un reemplazo que, por su estructura, no pueda serlo.
Qué le pasó a NetNut (2 de julio de 2026)
El 2 de julio de 2026, el FBI, junto con el Threat Intelligence Group de Google y la IRS Criminal Investigation, y con apoyo técnico de Black Lotus Labs de Lumen y de la Shadowserver Foundation, desarticuló NetNut e incautó cientos de los dominios que había detrás (KrebsOnSecurity , BleepingComputer , SecurityWeek ). NetNut era una red de proxies residenciales, y las direcciones que revendía corrían sobre la botnet Popa: unos dos millones de dispositivos infectados.
No fue una caída del sistema de facturación ni un DDoS pasajero. Google desactivó las cuentas de comando y control que operaban la red y publicó una actualización de Google Play Protect que desactiva las apps con el SDK de NetNut en dispositivos Android (Infosecurity Magazine ). La infraestructura de salida por la que pagaban los clientes fue desmantelada en el origen, no limitada desde un panel.
Por qué la derribaron
Los dos millones de dispositivos de la botnet Popa no eran servidores en un centro de datos. Eran smart TVs, reproductores de streaming y teléfonos Android de gente común, inscritos mediante kits de desarrollo de software (SDK) integrados en apps con poco o ningún consentimiento real de los dueños de los equipos (The Hacker News , Malwarebytes ). La “IP residencial” que alquilaba un cliente de NetNut era, en buena parte de los casos, la conexión de internet doméstica de alguien que nunca aceptó venderla.
Un suministro obtenido así atrae exactamente el tráfico que uno esperaría. En una sola semana de junio de 2026, Google contabilizó 316 clústeres de amenazas distintos que pasaban por los nodos de salida de NetNut, con password spraying, scraping de contenido, fraude publicitario y robo de cuentas entre los usos documentados (SecurityWeek ). Desde la óptica de las autoridades, un pool de proxies armado con dispositivos de consumidores sin su conocimiento es una botnet, y se lo trata como tal.
Qué significa si eras cliente de NetNut
El servicio se interrumpió. Alarum Technologies (NASDAQ: ALAR), empresa matriz de NetNut, suspendió el tráfico y advirtió, en un comunicado público, de un efecto adverso significativo sobre sus operaciones, sus resultados financieros y su capacidad de atender a los clientes; sus acciones cayeron con la noticia (comunicado de Alarum , Calcalist ). Nadie ha anunciado un cierre permanente, pero el servicio del que dependía tu operación se detuvo, sin aviso.
Así que necesitas un reemplazo. La trampa es tratar esto como una compra de reemplazo directo: elegir la siguiente red residencial , cambiar las credenciales y seguir adelante. La pregunta más importante es si el reemplazo que elijas trae incorporado el mismo modo de falla.
Esto es una falla de la cadena de suministro, no mala suerte
Es tentador leer la caída como un problema exclusivo de NetNut: un operador que tomó atajos y lo atraparon. Esa lectura es reconfortante y equivocada. La vulnerabilidad está en el modelo, no en la marca.
Cuando una red de proxies obtiene IP “residenciales” de dispositivos de consumidores inscritos mediante SDK integrados, todo su suministro es hardware de otras personas, agregado a escala sin la participación informada de los dueños. Ese suministro tiene dos propiedades que te importan como comprador. Atrae abuso, lo que trae escrutinio. Y puede desmantelarse en una sola acción coordinada (incautación de dominios, caída de comando y control (C2) y una purga de apps a nivel de plataforma), justamente porque hay una botnet física que desmantelar.
Esto ya pasó dos veces en 2026. NetNut es la segunda gran red residencial que cae este año. El 28 de enero, Google desarticuló IPIDEA, una de las mayores operaciones de proxies residenciales del mundo: 13 marcas asociadas, entre ellas 360Proxy, 922Proxy, ABC Proxy, IP2World, LunaProxy y PIA S5, repartidas por unos nueve millones de dispositivos, con más de 550 grupos de amenazas observados usando la red en una sola semana, todas bajo el mismo modelo de origen vía SDK de consumidor (Google Cloud Threat Intelligence , The Hacker News ).
Dos caídas, con unos seis meses de diferencia, la misma causa raíz. Si tu próximo proveedor obtiene sus direcciones de la misma manera (una red de “SDK” o de “consentimiento” que se monta sobre dispositivos que no le pertenecen), no eliminaste el riesgo. Lo volviste a comprar bajo otro logo, y la cuenta regresiva hacia la próxima caída ya corre donde no puedes verla.
Qué observar de verdad en un reemplazo
Los criterios de selección que importan en una alternativa a NetNut son los que sobreviven a una acción de las autoridades, no los de una página de comparación de funciones. Cinco preguntas separan un suministro duradero de una caída apenas aplazada.
- Procedencia. ¿De dónde vienen físicamente las IP y quién es dueño y opera los dispositivos en los que corren? “Residencial” describe la dirección, no el dispositivo ni el consentimiento detrás de él.
- Exposición a la incautación. ¿Puede desarticularse todo el suministro con una sola orden judicial, una sola caída de C2 o una sola purga de apps de una plataforma? Si la respuesta es sí, la disponibilidad se vuelve cuestión de cuándo, no de si.
- Trazabilidad. ¿Se registra y se puede atribuir cada solicitud: qué cliente, qué puerto, a qué hora, hacia qué destino? Un proveedor que responde eso con precisión es uno que no necesita desaparecer para protegerse. En iProxy.online hemos escrito abiertamente sobre por qué guardamos logs y no fingimos lo contrario ; los campos registrados son exactamente esos.
- Detectabilidad. ¿Cómo se presenta la dirección ante el objetivo: como una línea de ISP doméstico que puede entrar en una lista de bloqueo sin daño colateral, o como una IP de operador móvil de alta confianza que no?
- Durabilidad jurídica. ¿El modelo está hecho para resistir el escrutinio o para ir un paso adelante de él hasta que deja de poder? La seguridad jurídica es un requisito de diseño de primer orden para un suministro pensado para durar.
Ninguna de estas preguntas la responde la palabra “ético” impresa en una landing page. A todas las responde el modelo de origen que está por debajo.
Proxies residenciales vs proxies móviles: por qué el modelo es la diferencia
Los proxies residenciales y móviles suelen ubicarse uno al lado del otro como las dos alternativas de “IP real” frente a los proxies de centro de datos. Para el riesgo concreto que acaba de derribar a NetNut, no son la misma clase de cosa.
De dónde vienen las IP
Un proxy residencial enruta a través de direcciones IP asignadas a dispositivos de consumidores en conexiones de internet doméstica; y, en las redes que acaban de caer, esos dispositivos fueron inscritos mediante SDK que sus dueños nunca aceptaron a sabiendas. Un proxy móvil de iProxy.online enruta a través de un teléfono Android real con una SIM real, operado con pleno conocimiento y consentimiento de quien lo controla: tu propio equipo o una flota dedicada gestionada bajo contrato. La dirección viene del propio pool del operador móvil; el dispositivo es un punto de salida conocido y con consentimiento, no el televisor de un desconocido reclutado en silencio por una app.
Esa única diferencia de procedencia es todo el argumento. Todo lo que viene después (resistencia al bloqueo, trazabilidad, exposición a la incautación) se desprende de quién es dueño del hardware desde el que el tráfico realmente sale.
Por qué el móvil es más difícil de bloquear
Una IP de operador móvil no es la línea fija de un solo hogar. Es una dirección de nivel de operador, tomada de un pool que el operador rota entre su base de abonados, sobre un sistema autónomo (ASN) que los sistemas antifraude reconocen como de operador móvil. Bloquea esa dirección o su rango y te arriesgas a bloquear a los abonados reales que rotan hacia ella a continuación. Por eso los sistemas de detección tratan los ASN de operador móvil como la clase de IP de mayor confianza y tardan en banearlos de plano, lo contrario de una dirección de centro de datos, que una consulta de ASN delata al instante, o de una sola línea de ISP doméstico, que puede sumarse a una lista de bloqueo casi sin daño colateral. Es la misma propiedad práctica que persigue toda la industria, alcanzada por la procedencia y no por el tamaño del pool: una dirección que un sitio objetivo se resiste a bloquear.
Por qué esto elimina el riesgo de incautación
Aquí está la parte que cambió el 2 de julio. Si tu suministro son dispositivos reales operados con consentimiento, no hay botnet adentro: nada armado con hardware infectado para que una operación coordinada lo incaute, y nada que Play Protect pueda desactivar. La falla que terminó con NetNut e IPIDEA necesita, para empezar, que exista una red encubierta de dispositivos. Quita eso del modelo y la falla se va con ella. Tu suministro no se evapora porque alguien desmanteló una botnet de la que dependía en silencio, porque no existe tal botnet que desmantelar.
iProxy frente a una alternativa residencial típica
| Criterio | Proxy residencial típico | iProxy (móvil) |
|---|---|---|
| De dónde vienen las IP | Dispositivos de consumidores inscritos vía SDK o redes de “consentimiento” | Dispositivos Android reales con SIM reales, operados con consentimiento: el tuyo propio o una flota gestionada |
| Exposición a la incautación | Todo el pool puede caer si se desarticula el suministro por botnet/SDK | No hay botnet de dispositivos de terceros que incautar |
| Resistencia al bloqueo | Direcciones de ISP doméstico, más fáciles de identificar mediante fingerprinting y de bloquear a escala | IP de operador móvil en ASN de operador de alta confianza: caras de bloquear sin afectar a abonados reales |
| Trazabilidad | Variable, a menudo opaca | Cada solicitud registrada y atribuible: cliente, puerto, hora, destino |
| Migración | Cambio de configuración (host, puerto, credenciales) | Configuración guiada para tu caso: otro modelo, no un cambio equivalente |
La comparación no es sobre quién tiene más IP ni una mejor cifra de disponibilidad, números que no vamos a inventar para ganar una tabla. Es sobre qué modelo sigue existiendo después de una mala semana. Un pool residencial obtenido de SDK en dispositivos de consumidores queda a una sola acción de las autoridades del mismo desenlace que NetNut. Un suministro móvil construido sobre dispositivos controlables y con consentimiento no tiene nada que esa acción pueda incautar.
Cómo migrar desde NetNut
Primero la honestidad, porque las ofertas de reemplazo de la competencia que te llegan a la bandeja de entrada son calladamente deshonestas al respecto. Pasar de un proveedor puramente residencial a otro es un cambio de credenciales: cambias el host, el puerto y el usuario, y listo. Migrar a iProxy no es eso, y fingir lo contrario sería venderte el mismo riesgo con mejor redacción.
El móvil es una clase de suministro distinta. No alquilas una porción de un pool opaco; operas endpoints móviles dedicados en dispositivos reales. La configuración es un proceso corto y deliberado, no un buscar y reemplazar en un archivo de configuración, y ese es justamente el punto. Estás cambiando tu modelo de riesgo, no tu logo.
En la práctica se ve así: una conversación corta sobre tu caso de uso real (volumen, geografías objetivo y las plataformas contra las que trabajas, ya sea recopilación de datos a gran escala u operaciones con cuentas), luego mapeamos una configuración a la medida y te damos acceso. No hay un embudo de autoservicio por el que exprimir una operación empresarial, y es a propósito. Si tu tráfico importa lo suficiente como para que una caída sin aviso sea un problema real, importa lo suficiente para una configuración de verdad.
La forma más rápida de dimensionar la mudanza es contarnos qué corrías en NetNut. Escribe a [email protected] o manda un mensaje al CEO por Telegram , y dimensionamos un reemplazo para tu volumen.
Múdate a un suministro que no puedas perder
NetNut no falló por descuido. Falló porque su suministro era una botnet, y las botnets se incautan. La alternativa a NetNut más segura no es una versión con mejor marketing del mismo modelo. Es un suministro sin nada que incautar: proxies móviles en dispositivos reales y con consentimiento, con cada solicitud registrada y atribuible.
Si esa es la clase de durabilidad que tu operación necesita, conversemos cuando a ti te convenga, no cuando lo decida una agencia de control. Escribe a [email protected] o contacta al CEO por Telegram para hablar de un suministro que no se puede incautar.