Ir al contenido principal
Volver al Blog
Incident Response

Proxies residenciales: por qué el origen de una conexión ya no es prueba de confianza

26 jun 2026 · 8 min de lectura · por DEFION Security

Contenido del artículo

Los proxies residenciales enrutan el tráfico de ataque a través de direcciones IP de usuarios domésticos reales, inutilizando los filtros de reputación de IP. La detección requiere análisis de comportamiento, enriquecimiento con datos ASN y TLS fingerprinting. Medida inmediata: activar la autenticación multifactor en todos los sistemas accesibles desde el exterior y añadir metadatos ASN al análisis de logs.

En el equipo de respuesta a incidentes de DEFION estamos observando un patrón cada vez más frecuente: el atacante ya no se conecta desde un servidor en el extranjero ni desde una VPN comercial fácil de señalar, sino desde direcciones IP de operadores domésticos, a menudo del mismo país e incluso de la misma región que la víctima. Detrás de este cambio están las redes de proxies residenciales.

No es una percepción aislada. El Centro Nacional de Ciberseguridad de los Países Bajos (NCSC-NL) publicaba a finales de mayo de 2026 el informe de inteligencia "Residential proxies and consumer devices exploited for malicious purposes", advirtiendo de una tendencia creciente del uso de proxies residenciales con fines maliciosos. En este artículo explicamos qué son, cómo los emplean los atacantes y, sobre todo, cómo detectarlos.

Qué es un proxy residencial

Un proxy residencial es un intermediario que enruta el tráfico del atacante a través de la conexión y la dirección IP de un usuario doméstico real: un router, un móvil, un televisor conectado o cualquier dispositivo del Internet de las cosas. Como esas direcciones las asignan los operadores de telecomunicaciones y figuran en las bases de datos como "residenciales", el tráfico malicioso aparenta proceder de un ciudadano cualquiera navegando desde su casa, y no de un centro de datos o de un servicio de anonimización conocido.

Ahí está la diferencia clave con los proxies de centro de datos o las VPN comerciales, que son relativamente fáciles de identificar y bloquear. El proxy residencial se mimetiza con el tráfico legítimo, y por eso muchos sistemas de seguridad confían más en él.

Estas redes se nutren de tres formas, según el NCSC:

  • Participación consciente: el usuario instala software de proxy, gratuito o de pago, y cede su conexión a cambio de acceso o de una pequeña compensación económica. Las condiciones al respecto a veces están enterradas en la letra pequeña.
  • Infección por malware: el dispositivo ha sido comprometido sin que el propietario lo sepa. El malware conecta el dispositivo como proceso en segundo plano a la red de proxies.
  • Integración de SDK en apps legítimas: los desarrolladores incorporan un SDK de un proveedor de proxies en su aplicación. Los dispositivos de los usuarios pasan a formar parte de la red automáticamente, sin que estos lo sepan.

Cómo los utilizan los atacantes

Las aplicaciones son amplias. A partir de nuestra casuística de respuesta a incidentes y del informe del NCSC, identificamos los siguientes escenarios:

Credential stuffing y toma de control de cuentas

Un atacante con una lista de credenciales filtradas distribuye los intentos de inicio de sesión entre miles de direcciones IP residenciales. Los sistemas de seguridad que bloquean por reputación de IP o por volumen de intentos por IP ven cada intento como procedente de un usuario único y legítimo. El resultado: tomas de control de cuentas que apenas llaman la atención en los registros.

Evasión de restricciones geográficas

Las organizaciones bloquean el tráfico proveniente de ciertas regiones o países. Una dirección IP residencial de la región correcta supera estos filtros sin dificultad. Para un atacante que quiere acceder a un panel de administración con restricción geográfica, basta con una dirección residencial del país objetivo.

Infraestructura de phishing y tráfico C2

Las páginas de phishing y los servidores de comando y control se acceden a través de proxies residenciales, de modo que los escáneres de URL y los servicios de reputación ven una dirección IP normal. La infraestructura maliciosa permanece así operativa durante más tiempo.

Fraude automatizado

Las redes publicitarias y las plataformas detectan el fraude de clics y el comportamiento de bots en parte mediante la reputación de IP. Las IP residenciales superan estos controles, lo que las hace atractivas para operaciones de fraude a gran escala.

Cómo detectarlos

Los filtros de reputación de IP no funcionan aquí. El atacante dispone de una IP limpia. La detección requiere un enfoque diferente:

Análisis ASN y metadatos del operador

Cada conexión puede enriquecerse con el Número de Sistema Autónomo (ASN) y el proveedor asociado. Las IP residenciales corresponden a ASN de consumidores. Una solicitud que llega a través de un ISP de consumidores pero exhibe el patrón de comportamiento de un ataque automatizado es una primera señal de detección.

Análisis de comportamiento y TLS fingerprinting

Mientras que un usuario humano tiene tiempos de respuesta variables y navega por una aplicación con interacciones normales de navegador, los proxies automatizados exhiben patrones característicos: huellas TLS fijas (JA3/JA3S), regularidad perfecta en los tiempos, ausencia de cabeceras HTTP estándar como Accept-Language, y la no solicitud de recursos CSS o JavaScript que un navegador cargaría normalmente.

Patrones de sesión y volumen

Un usuario real navega secuencialmente dentro de una sola sesión. El tráfico de proxy automatizado suele exhibir cientos de conexiones paralelas o patrones estadísticamente regulares que son detectables incluso con una detección de anomalías básica. En particular, cuando un mismo nombre de usuario intenta iniciar sesión desde decenas de IP residenciales distintas, esa es una señal de detección contundente, aunque cada IP individual parezca limpia.

Qué significa esto para su organización

Los proxies residenciales no son un fenómeno nuevo, pero su uso por parte de actores maliciosos ha crecido de forma estructural. El informe del NCSC-NL describe cómo los dispositivos IoT de consumo, incluidos los routers domésticos, representan una proporción cada vez mayor de estas redes. La escala y disponibilidad de los servicios comerciales de proxies residenciales hacen que el abuso de bajo esfuerzo esté al alcance de cualquier atacante con un presupuesto básico.

Para los equipos de seguridad, hay tres puntos de atención inmediatos:

  1. No confiar ciegamente en la reputación de IP. Las listas de bloqueo ayudan, pero una IP residencial supera la mayoría de las comprobaciones de reputación. Añada componentes de comportamiento a su detección.
  2. Enriquezca sus logs con datos ASN e ISP. Esto permite diferenciar entre tráfico de consumidores y de centros de datos, aunque la propia dirección IP no levante alertas.
  3. La autenticación multifactor limita el daño. El credential stuffing a través de proxies residenciales es significativamente más efectivo contra cuentas sin MFA. El MFA en todos los sistemas accesibles desde el exterior es un requisito básico.

Para organizaciones que sospechan que sus sistemas han sido expuestos a ataques automatizados a través de proxies residenciales, o que desean saber cómo rinde su capacidad de detección actual: una Evaluación de Compromisos o una conversación con nuestro equipo de Respuesta a Incidentes es un primer paso lógico.

¿Sospecha de tráfico anómalo en su entorno?

Nuestro equipo de Respuesta a Incidentes analiza datos de registro, identifica indicadores de compromiso y apoya la remediación.

Contactar con nosotros