Alternativa a NetNut tras la incautación del FBI: el suministro de proxies que no se puede incautar (2026)

Base de Conocimientos
Evgeny Fomenko

Conclusión clave: El FBI incautó NetNut el 2 de julio de 2026 porque su suministro “residencial” era la botnet Popa, formada por unos dos millones de dispositivos de consumidores infectados, el mismo modelo de origen vía SDK de consumidor que Google desmanteló en IPIDEA en enero. Reemplazarlo por otro pool residencial obtenido de la misma forma conserva el riesgo de incautación y solo cambia el logo. La alternativa a NetNut que sí perdura es otro modelo: proxies móviles tomados de dispositivos reales y con consentimiento, con cada solicitud registrada y atribuible, de modo que no queda ninguna botnet de terceros que una operación pueda incautar.

El 2 de julio de 2026, el FBI derribó a uno de los proveedores de proxies residenciales más conocidos del mercado. Si enrutabas tráfico a través de NetNut, la lección útil no es “buscar otra red residencial”, sino entender por qué esta era incautable desde el principio y elegir un reemplazo que, por su estructura, no pueda serlo.

Qué le pasó a NetNut (2 de julio de 2026)

El 2 de julio de 2026, el FBI, junto con el Threat Intelligence Group de Google y la IRS Criminal Investigation, y con apoyo técnico de Black Lotus Labs de Lumen y de la Shadowserver Foundation, desarticuló NetNut e incautó cientos de los dominios que había detrás (KrebsOnSecurity , BleepingComputer , SecurityWeek ). NetNut era una red de proxies residenciales, y las direcciones que revendía corrían sobre la botnet Popa: unos dos millones de dispositivos infectados.

No fue una caída del sistema de facturación ni un DDoS pasajero. Google desactivó las cuentas de comando y control que operaban la red y publicó una actualización de Google Play Protect que desactiva las apps con el SDK de NetNut en dispositivos Android (Infosecurity Magazine ). La infraestructura de salida por la que pagaban los clientes fue desmantelada en el origen, no limitada desde un panel.

Por qué la derribaron

Los dos millones de dispositivos de la botnet Popa no eran servidores en un centro de datos. Eran smart TVs, reproductores de streaming y teléfonos Android de gente común, inscritos mediante kits de desarrollo de software (SDK) integrados en apps con poco o ningún consentimiento real de los dueños de los equipos (The Hacker News , Malwarebytes ). La “IP residencial” que alquilaba un cliente de NetNut era, en buena parte de los casos, la conexión de internet doméstica de alguien que nunca aceptó venderla.

Un suministro obtenido así atrae exactamente el tráfico que uno esperaría. En una sola semana de junio de 2026, Google contabilizó 316 clústeres de amenazas distintos que pasaban por los nodos de salida de NetNut, con password spraying, scraping de contenido, fraude publicitario y robo de cuentas entre los usos documentados (SecurityWeek ). Desde la óptica de las autoridades, un pool de proxies armado con dispositivos de consumidores sin su conocimiento es una botnet, y se lo trata como tal.

Qué significa si eras cliente de NetNut

El servicio se interrumpió. Alarum Technologies (NASDAQ: ALAR), empresa matriz de NetNut, suspendió el tráfico y advirtió, en un comunicado público, de un efecto adverso significativo sobre sus operaciones, sus resultados financieros y su capacidad de atender a los clientes; sus acciones cayeron con la noticia (comunicado de Alarum , Calcalist ). Nadie ha anunciado un cierre permanente, pero el servicio del que dependía tu operación se detuvo, sin aviso.

Así que necesitas un reemplazo. La trampa es tratar esto como una compra de reemplazo directo: elegir la siguiente red residencial , cambiar las credenciales y seguir adelante. La pregunta más importante es si el reemplazo que elijas trae incorporado el mismo modo de falla.

¿Te dejó varado la caída de NetNut?
Si tu operación se quedó sin suministro de proxies de un día para otro, la solución más rápida es una conversación corta, no otro formulario de registro. Cuéntanos qué corrías en NetNut y te diseñamos un reemplazo móvil sobre un suministro que no se puede incautar. ¡Escribe a [email protected] ahora!
Escríbenos por Telegram

Esto es una falla de la cadena de suministro, no mala suerte

Es tentador leer la caída como un problema exclusivo de NetNut: un operador que tomó atajos y lo atraparon. Esa lectura es reconfortante y equivocada. La vulnerabilidad está en el modelo, no en la marca.

Cuando una red de proxies obtiene IP “residenciales” de dispositivos de consumidores inscritos mediante SDK integrados, todo su suministro es hardware de otras personas, agregado a escala sin la participación informada de los dueños. Ese suministro tiene dos propiedades que te importan como comprador. Atrae abuso, lo que trae escrutinio. Y puede desmantelarse en una sola acción coordinada (incautación de dominios, caída de comando y control (C2) y una purga de apps a nivel de plataforma), justamente porque hay una botnet física que desmantelar.

Esto ya pasó dos veces en 2026. NetNut es la segunda gran red residencial que cae este año. El 28 de enero, Google desarticuló IPIDEA, una de las mayores operaciones de proxies residenciales del mundo: 13 marcas asociadas, entre ellas 360Proxy, 922Proxy, ABC Proxy, IP2World, LunaProxy y PIA S5, repartidas por unos nueve millones de dispositivos, con más de 550 grupos de amenazas observados usando la red en una sola semana, todas bajo el mismo modelo de origen vía SDK de consumidor (Google Cloud Threat Intelligence , The Hacker News ).

Línea de tiempo de dos caídas de proxies residenciales en 2026: Google desarticulando IPIDEA el 28 de enero y el FBI incautando NetNut el 2 de julio, ambas con origen en dispositivos de consumidores vía SDK.

Dos caídas, con unos seis meses de diferencia, la misma causa raíz. Si tu próximo proveedor obtiene sus direcciones de la misma manera (una red de “SDK” o de “consentimiento” que se monta sobre dispositivos que no le pertenecen), no eliminaste el riesgo. Lo volviste a comprar bajo otro logo, y la cuenta regresiva hacia la próxima caída ya corre donde no puedes verla.

Qué observar de verdad en un reemplazo

Los criterios de selección que importan en una alternativa a NetNut son los que sobreviven a una acción de las autoridades, no los de una página de comparación de funciones. Cinco preguntas separan un suministro duradero de una caída apenas aplazada.

  1. Procedencia. ¿De dónde vienen físicamente las IP y quién es dueño y opera los dispositivos en los que corren? “Residencial” describe la dirección, no el dispositivo ni el consentimiento detrás de él.
  2. Exposición a la incautación. ¿Puede desarticularse todo el suministro con una sola orden judicial, una sola caída de C2 o una sola purga de apps de una plataforma? Si la respuesta es sí, la disponibilidad se vuelve cuestión de cuándo, no de si.
  3. Trazabilidad. ¿Se registra y se puede atribuir cada solicitud: qué cliente, qué puerto, a qué hora, hacia qué destino? Un proveedor que responde eso con precisión es uno que no necesita desaparecer para protegerse. En iProxy.online hemos escrito abiertamente sobre por qué guardamos logs y no fingimos lo contrario ; los campos registrados son exactamente esos.
  4. Detectabilidad. ¿Cómo se presenta la dirección ante el objetivo: como una línea de ISP doméstico que puede entrar en una lista de bloqueo sin daño colateral, o como una IP de operador móvil de alta confianza que no?
  5. Durabilidad jurídica. ¿El modelo está hecho para resistir el escrutinio o para ir un paso adelante de él hasta que deja de poder? La seguridad jurídica es un requisito de diseño de primer orden para un suministro pensado para durar.

Ninguna de estas preguntas la responde la palabra “ético” impresa en una landing page. A todas las responde el modelo de origen que está por debajo.

Proxies residenciales vs proxies móviles: por qué el modelo es la diferencia

Los proxies residenciales y móviles suelen ubicarse uno al lado del otro como las dos alternativas de “IP real” frente a los proxies de centro de datos. Para el riesgo concreto que acaba de derribar a NetNut, no son la misma clase de cosa.

De dónde vienen las IP

Un proxy residencial enruta a través de direcciones IP asignadas a dispositivos de consumidores en conexiones de internet doméstica; y, en las redes que acaban de caer, esos dispositivos fueron inscritos mediante SDK que sus dueños nunca aceptaron a sabiendas. Un proxy móvil de iProxy.online enruta a través de un teléfono Android real con una SIM real, operado con pleno conocimiento y consentimiento de quien lo controla: tu propio equipo o una flota dedicada gestionada bajo contrato. La dirección viene del propio pool del operador móvil; el dispositivo es un punto de salida conocido y con consentimiento, no el televisor de un desconocido reclutado en silencio por una app.

Diagrama que compara dos modelos de suministro de proxies: un pool residencial formado por dispositivos de consumidores inscritos vía SDK que se convierte en una botnet incautable, frente a un suministro móvil de dispositivos reales y con consentimiento, sin nada que una operación pueda incautar.

Esa única diferencia de procedencia es todo el argumento. Todo lo que viene después (resistencia al bloqueo, trazabilidad, exposición a la incautación) se desprende de quién es dueño del hardware desde el que el tráfico realmente sale.

Por qué el móvil es más difícil de bloquear

Una IP de operador móvil no es la línea fija de un solo hogar. Es una dirección de nivel de operador, tomada de un pool que el operador rota entre su base de abonados, sobre un sistema autónomo (ASN) que los sistemas antifraude reconocen como de operador móvil. Bloquea esa dirección o su rango y te arriesgas a bloquear a los abonados reales que rotan hacia ella a continuación. Por eso los sistemas de detección tratan los ASN de operador móvil como la clase de IP de mayor confianza y tardan en banearlos de plano, lo contrario de una dirección de centro de datos, que una consulta de ASN delata al instante, o de una sola línea de ISP doméstico, que puede sumarse a una lista de bloqueo casi sin daño colateral. Es la misma propiedad práctica que persigue toda la industria, alcanzada por la procedencia y no por el tamaño del pool: una dirección que un sitio objetivo se resiste a bloquear.

Por qué esto elimina el riesgo de incautación

Aquí está la parte que cambió el 2 de julio. Si tu suministro son dispositivos reales operados con consentimiento, no hay botnet adentro: nada armado con hardware infectado para que una operación coordinada lo incaute, y nada que Play Protect pueda desactivar. La falla que terminó con NetNut e IPIDEA necesita, para empezar, que exista una red encubierta de dispositivos. Quita eso del modelo y la falla se va con ella. Tu suministro no se evapora porque alguien desmanteló una botnet de la que dependía en silencio, porque no existe tal botnet que desmantelar.

iProxy frente a una alternativa residencial típica

Criterio Proxy residencial típico iProxy (móvil)
De dónde vienen las IP Dispositivos de consumidores inscritos vía SDK o redes de “consentimiento” Dispositivos Android reales con SIM reales, operados con consentimiento: el tuyo propio o una flota gestionada
Exposición a la incautación Todo el pool puede caer si se desarticula el suministro por botnet/SDK No hay botnet de dispositivos de terceros que incautar
Resistencia al bloqueo Direcciones de ISP doméstico, más fáciles de identificar mediante fingerprinting y de bloquear a escala IP de operador móvil en ASN de operador de alta confianza: caras de bloquear sin afectar a abonados reales
Trazabilidad Variable, a menudo opaca Cada solicitud registrada y atribuible: cliente, puerto, hora, destino
Migración Cambio de configuración (host, puerto, credenciales) Configuración guiada para tu caso: otro modelo, no un cambio equivalente

La comparación no es sobre quién tiene más IP ni una mejor cifra de disponibilidad, números que no vamos a inventar para ganar una tabla. Es sobre qué modelo sigue existiendo después de una mala semana. Un pool residencial obtenido de SDK en dispositivos de consumidores queda a una sola acción de las autoridades del mismo desenlace que NetNut. Un suministro móvil construido sobre dispositivos controlables y con consentimiento no tiene nada que esa acción pueda incautar.

¿Estás dimensionando un reemplazo de NetNut para volumen real?
Sáltate el embudo de autoservicio. Dinos tus objetivos, tus geografías y tu volumen de solicitudes, y te mapeamos una configuración móvil dedicada para ellos, montada sobre dispositivos reales y con consentimiento, no sobre un pool incautable. Empieza en [email protected] .
Escríbele al CEO

Cómo migrar desde NetNut

Primero la honestidad, porque las ofertas de reemplazo de la competencia que te llegan a la bandeja de entrada son calladamente deshonestas al respecto. Pasar de un proveedor puramente residencial a otro es un cambio de credenciales: cambias el host, el puerto y el usuario, y listo. Migrar a iProxy no es eso, y fingir lo contrario sería venderte el mismo riesgo con mejor redacción.

El móvil es una clase de suministro distinta. No alquilas una porción de un pool opaco; operas endpoints móviles dedicados en dispositivos reales. La configuración es un proceso corto y deliberado, no un buscar y reemplazar en un archivo de configuración, y ese es justamente el punto. Estás cambiando tu modelo de riesgo, no tu logo.

En la práctica se ve así: una conversación corta sobre tu caso de uso real (volumen, geografías objetivo y las plataformas contra las que trabajas, ya sea recopilación de datos a gran escala u operaciones con cuentas), luego mapeamos una configuración a la medida y te damos acceso. No hay un embudo de autoservicio por el que exprimir una operación empresarial, y es a propósito. Si tu tráfico importa lo suficiente como para que una caída sin aviso sea un problema real, importa lo suficiente para una configuración de verdad.

La forma más rápida de dimensionar la mudanza es contarnos qué corrías en NetNut. Escribe a [email protected] o manda un mensaje al CEO por Telegram , y dimensionamos un reemplazo para tu volumen.

¿Listo para cambiar tu modelo de riesgo, no solo tu logo?
Salir de NetNut es una configuración corta y guiada, no un cambio de credenciales, porque te mudas a una clase de suministro distinta. Mándanos qué corrías y dimensionamos el reemplazo. ¡Escribe a [email protected] hoy mismo!
Planifica tu migración

Múdate a un suministro que no puedas perder

NetNut no falló por descuido. Falló porque su suministro era una botnet, y las botnets se incautan. La alternativa a NetNut más segura no es una versión con mejor marketing del mismo modelo. Es un suministro sin nada que incautar: proxies móviles en dispositivos reales y con consentimiento, con cada solicitud registrada y atribuible.

Si esa es la clase de durabilidad que tu operación necesita, conversemos cuando a ti te convenga, no cuando lo decida una agencia de control. Escribe a [email protected] o contacta al CEO por Telegram para hablar de un suministro que no se puede incautar.

Preguntas frecuentes

¿NetNut cerró definitivamente?
El FBI incautó cientos de dominios de NetNut el 2 de julio de 2026, y su empresa matriz, Alarum Technologies, suspendió el tráfico mientras advertía de un efecto adverso significativo sobre su negocio. No se ha anunciado oficialmente ningún cierre permanente, pero el servicio al cliente se interrumpió sin aviso. Si corrías tráfico de producción a través de él, dalo por caído y planifica la mudanza.
¿Es seguro seguir usando NetNut?
Su suministro estaba ligado a la botnet Popa, de unos dos millones de dispositivos infectados, y Google lanzó una actualización de Play Protect para desactivar las apps que llevaban su SDK. Más allá del problema de confiabilidad, no es un suministro al que quieras asociar tu tráfico. El camino más seguro es un reemplazo construido sobre un modelo de origen distinto, no otra red de dispositivos de consumidores.
¿Cuál es la alternativa a NetNut más segura?
No otro pool residencial obtenido de la misma forma, porque arrastra el mismo riesgo de incautación. La opción duradera es un modelo de proxy móvil cuyas IP vienen de dispositivos reales y con consentimiento, de modo que no hay ninguna botnet de terceros que incautar. Para dimensionar uno para tu carga de trabajo, escribe a [email protected] o manda un mensaje a @iproxy_online_support en Telegram.
¿Se comprometió mi tráfico o mis datos en la incautación de NetNut?
Esa pregunta es para NetNut y Alarum, y deberías hacérsela directamente a ellos. Lo que el incidente demuestra es por qué importa un proveedor rastreable: con un registro claro de qué cliente hizo qué solicitud, cuándo y hacia qué destino, preguntas como esta tienen respuesta. Un suministro opaco te deja sin poder probar nada en ningún sentido.
¿Tengo que cambiar mi código para migrar a iProxy?
No es un simple cambio de host y puerto, porque el móvil es una clase de suministro distinta de un pool residencial. En la práctica es una configuración corta ajustada a tu caso de uso, no un buscar y reemplazar en un archivo de configuración. Cuéntanos tu volumen y tus objetivos y diseñamos la configuración contigo.
Proxy residencial vs proxy móvil: ¿cuál es la diferencia para mí?
Los proxies residenciales enrutan a través de dispositivos domésticos de consumidores, a menudo inscritos mediante SDK; los proxies móviles enrutan a través de teléfonos reales en redes de operadores móviles. Las diferencias prácticas son la procedencia, la resistencia al bloqueo y el riesgo de suministro. Las IP de operador móvil se apoyan en ASN de operador de alta confianza, y el suministro no es una botnet incautable.
¿Por qué derribaron a NetNut?
Sus IP residenciales corrían sobre la botnet Popa: unos dos millones de smart TVs, reproductores de streaming y dispositivos Android inscritos vía SDK con poco o ningún consentimiento. Cientos de clústeres de amenazas usaban ese pool para abusos como password spraying y fraude publicitario, lo que motivó una acción coordinada del FBI y de Google. La operación incautó dominios, desactivó cuentas de comando y control y desactivó las apps con el SDK.
¿Pueden las autoridades incautar a mi proveedor de proxies y cortarme el servicio?
Sí, si el suministro del proveedor es una botnet de dispositivos de terceros infectados, como mostraron las caídas de NetNut e IPIDEA en 2026. Con un modelo móvil construido sobre dispositivos reales y con consentimiento no hay tal botnet que incautar, así que ese modo de falla concreto no aplica. Esa es la razón de fondo para elegir el suministro por su modelo de origen y no por su marketing.