Proxies residencials: per què l'origen d'una connexió ja no és prova de confiança
Contingut de l'article
Els proxies residencials enruten el trànsit d'atac a través d'adreces IP d'usuaris domèstics reals, inutilitzant els filtres de reputació d'IP. La detecció requereix anàlisi de comportament, enriquiment amb dades ASN i TLS fingerprinting. Mesura immediata: activar l'autenticació multifactor en tots els sistemes accessibles des de l'exterior i afegir metadades ASN a l'anàlisi de registres.
A l'equip de resposta a incidents de DEFION estem observant un patró cada vegada més freqüent: l'atacant ja no es connecta des d'un servidor a l'estranger ni des d'una VPN comercial fàcil d'identificar, sinó des d'adreces IP d'operadors domèstics, sovint del mateix país i fins i tot de la mateixa regió que la víctima. Darrere d'aquest canvi hi ha les xarxes de proxies residencials.
No és una percepció aïllada. El Centre Nacional de Ciberseguretat dels Països Baixos (NCSC-NL) publicava a finals de maig de 2026 l'informe d'intel·ligència "Residential proxies and consumer devices exploited for malicious purposes", advertint d'una tendència creixent en l'ús maliciós de proxies residencials. En aquest article expliquem què són, com els fan servir els atacants i, sobretot, com detectar-los.
Què és un proxy residencial
Un proxy residencial és un intermediari que enruta el trànsit de l'atacant a través de la connexió i l'adreça IP d'un usuari domèstic real: un router, un mòbil, un televisor connectat o qualsevol dispositiu de l'Internet de les coses. Com que els operadors de telecomunicacions assignen aquestes adreces i figuren a les bases de dades com a "residencials", el trànsit maliciós sembla provenir d'un ciutadà qualsevol navegant des de casa, i no d'un centre de dades o d'un servei d'anonimització conegut.
Aquí rau la diferència clau amb els proxies de centre de dades o les VPN comercials, que són relativament fàcils d'identificar i bloquejar. El proxy residencial es mimetitza amb el trànsit legítim, i per això molts sistemes de seguretat hi confien més.
Aquestes xarxes s'alimenten de tres formes, segons el NCSC:
- Participació conscient: l'usuari instal·la programari de proxy, gratuït o de pagament, i cedeix la seva connexió a canvi d'accés o d'una petita compensació econòmica. Les condicions al respecte de vegades estan enterrades en la lletra petita.
- Infecció per malware: el dispositiu ha estat compromès sense que el propietari ho sàpiga. El malware connecta el dispositiu com a procés en segon pla a la xarxa de proxies.
- Integració de SDK en apps legítimes: els desenvolupadors incorporen un SDK d'un proveïdor de proxies a la seva aplicació. Els dispositius dels usuaris passen a formar part de la xarxa automàticament, sense que aquests ho sàpiguen.
Com els fan servir els atacants
Les aplicacions són àmplies. A partir de la nostra casuística de resposta a incidents i de l'informe del NCSC, identifiquem els escenaris següents:
Credential stuffing i presa de control de comptes
Un atacant amb una llista de credencials filtrades distribueix els intents d'inici de sessió entre milers d'adreces IP residencials. Els sistemes de seguretat que bloquegen per reputació d'IP o per volum d'intents per IP veuen cada intent com provinent d'un usuari únic i legítim. El resultat: preses de control de comptes que amb prou feines criden l'atenció als registres.
Evasió de restriccions geogràfiques
Les organitzacions bloquegen el trànsit provinent de certes regions o països. Una adreça IP residencial de la regió correcta supera aquests filtres sense dificultat. Per a un atacant que vol accedir a un panell d'administració amb restricció geogràfica, n'hi ha prou amb una adreça residencial del país objectiu.
Infraestructura de phishing i trànsit C2
Les pàgines de phishing i els servidors de comandament i control s'accedeixen a través de proxies residencials, de manera que els escàners d'URL i els serveis de reputació veuen una adreça IP normal. La infraestructura maliciosa roman operativa durant més temps.
Frau automatitzat
Les xarxes publicitàries i les plataformes detecten el frau de clics i el comportament de bots en part mitjançant la reputació d'IP. Les IP residencials superen aquests controls, la qual cosa les fa atractives per a operacions de frau a gran escala.
Com detectar-los
Els filtres de reputació d'IP no funcionen aquí. L'atacant disposa d'una IP neta. La detecció requereix un enfocament diferent:
Anàlisi ASN i metadades de l'operador
Cada connexió pot enriquir-se amb el Número de Sistema Autònom (ASN) i el proveïdor associat. Les IP residencials corresponen a ASN de consumidors. Una sol·licitud que arriba a través d'un ISP de consumidors però que exhibeix el patró de comportament d'un atac automatitzat és un primer senyal de detecció.
Anàlisi de comportament i TLS fingerprinting
Mentre que un usuari humà té temps de resposta variables i navega per una aplicació amb interaccions normals de navegador, els proxies automatitzats exhibeixen patrons característics: empremtes TLS fixes (JA3/JA3S), regularitat perfecta en els temps, absència de capçaleres HTTP estàndard com Accept-Language, i la no sol·licitud de recursos CSS o JavaScript que un navegador carregaria normalment.
Patrons de sessió i volum
Un usuari real navega seqüencialment dins d'una sola sessió. El trànsit de proxy automatitzat sol exhibir centenars de connexions paral·leles o patrons estadísticament regulars que són detectables fins i tot amb una detecció d'anomalies bàsica. En particular, quan un mateix nom d'usuari intenta iniciar sessió des de desenes d'IP residencials diferents, aquest és un senyal de detecció contundent, tot i que cada IP individual sembli neta.
Què significa això per a la seva organització
Els proxies residencials no són un fenomen nou, però el seu ús per part d'actors maliciosos ha crescut de manera estructural. L'informe del NCSC-NL descriu com els dispositius IoT de consum, inclosos els routers domèstics, representen una proporció cada vegada major d'aquestes xarxes. L'escala i disponibilitat dels serveis comercials de proxies residencials fan que l'abús de baix esforç estigui a l'abast de qualsevol atacant amb un pressupost bàsic.
Per als equips de seguretat, hi ha tres punts d'atenció immediats:
- No confiar cegament en la reputació d'IP. Les llistes de bloqueig ajuden, però una IP residencial supera la majoria de les comprovacions de reputació. Afegiu components de comportament a la vostra detecció.
- Enriquiu els vostres registres amb dades ASN i ISP. Això permet diferenciar entre trànsit de consumidors i de centres de dades, tot i que la pròpia adreça IP no generi alertes.
- L'autenticació multifactor limita el dany. El credential stuffing a través de proxies residencials és significativament més efectiu contra comptes sense MFA. El MFA en tots els sistemes accessibles des de l'exterior és un requisit bàsic.
Per a organitzacions que sospiten que els seus sistemes han estat exposats a atacs automatitzats a través de proxies residencials, o que volen saber com funciona la seva capacitat de detecció actual: una Avaluació de Compromisos o una conversa amb el nostre equip de Resposta a Incidents és un primer pas lògic.
Sospiteu de trànsit anòmal al vostre entorn?
El nostre equip de Resposta a Incidents analitza dades de registre, identifica indicadors de compromís i dóna suport a la remediació.
Contactar amb nosaltres
®