Durante la última semana, el gigantesco botnet de Internet de cosas (IoT) Kimwolf ha estado causando problemas en el Proyecto Invisible de Internet (I2P), una red de comunicación cifrada descentralizada diseñada para anonimizar y proteger las comunicaciones en línea. Los usuarios de I2P comenzaron a reportar interrupciones al mismo tiempo que los maestros del botnet Kimwolf empezaban a usarla para evitar intentos de derribo de sus servidores de control.
Kimwolf surgió hacia finales de 2025 y rápidamente infectó millones de sistemas, convirtiendo dispositivos IoT poco seguros como cajas de streaming, marcos digitales y routers en relays para tráfico malicioso y ataques DDoS (Denegación de Servicio Distribuido) abusivamente grandes.
I2P es una red descentralizada enfocada en la privacidad que permite a las personas comunicarse e intercambiar información anónimamente. 'Funciona al enrutar los datos a través de múltiples capas criptográficas entre nodos voluntarios, ocultando tanto las ubicaciones del remitente como del destinatario', explica el sitio web de I2P. 'El resultado es una red segura y resistente a la censura diseñada para sitios web privados, mensajería y intercambio de datos'.
El 3 de febrero, los usuarios de I2P comenzaron a quejarse en la página de GitHub del organismo sobre cientos de miles de routers repentinamente sobrecargando la red, lo que impidió que los usuarios existentes comunicaran con nodos legítimos. Los usuarios informaron de un rápido aumento en el número de nuevos routers que no podían transmitir datos, y que la incesante llegada masiva de sistemas nuevos había abrumado la red.
Los usuarios de I2P se quejaron de interrupciones del servicio a medida que un gran número de routers repentinamente sobrecargaban la red. Cuando un usuario de I2P preguntó si la red estaba bajo ataque, otra persona respondió: 'Parece serlo. Mi router físico se congela cuando el número de conexiones supera las 60,000'. Un gráfico compartido por los desarrolladores de I2P mostraba una caída significativa en las conexiones exitosas en la red I2P alrededor del mismo tiempo que Kimwolf comenzó a intentar usarla como red de respaldo.
Al notar las interrupciones el mismo día, los individuos que controlan Kimwolf publicaron en su canal Discord que habían accidentalmente perturbado I2P después de intentar unir 700,000 dispositivos infectados por Kimwolf como nodos en la red. El botmaster discutió abiertamente sus acciones en un canal Discord.
Aunque conocido por sus poderosos DDoS, las interrupciones causadas esta semana por una parte del botnet intentando unirse a I2P son lo que se llama un 'ataque Sybil', donde un solo individuo puede perturbar el sistema creando y controlando un gran número de identidades falsas y pseudónimas. De hecho, el número de dispositivos infectados por Kimwolf que intentaron unirse a la red I2P esta semana fue muchas veces mayor que el tamaño normal de la red.
La página de Wikipedia del I2P afirma que consta aproximadamente de 55,000 computadoras distribuidas mundialmente, con cada participante actuando como both router (para retransmitir tráfico) y cliente. Sin embargo, Lance James, fundador de la consultoría en ciberseguridad Unit 221B de Nueva York y el fundador original del I2P, dijo a KrebsOnSecurity que la red entera de I2P consta actualmente entre 15,000 y 20,000 dispositivos en cualquier día. Un usuario de I2P publicó un gráfico el 10 de febrero mostrando cientos de miles de routers -principalmente de los Estados Unidos- que repentinamente intentaron unirse a la red.
Benjamin Brundage, fundador de Synthient, una startup que rastrea servicios proxy y fue el primero en documentar las técnicas únicas de propagación de Kimwolf, dijo que los operadores de Kimwolf han estado tratando de construir una red de comandos y control que no pueda ser derribada fácilmente por compañías de seguridad y operadores de redes trabajando juntos para combatir la propagación del botnet. Brundage dijo que las personas en control de Kimwolf han estado experimentando con el uso de I2P y una red similar de anonimato -Tor- como red de comandos y control de respaldo, aunque no se han informado recientemente interrupciones masivas en la red Tor.
'No creo que su objetivo sea derribar I2P', dijo. 'Se trata más de buscar una alternativa para mantener estable el botnet frente a los intentos de derribo'. El botnet Kimwolf creó desafíos para Cloudflare al final del año pasado cuando comenzó a instruir a millones de dispositivos infectados para usar las configuraciones de nombre de dominio (DNS) de Cloudflare, causando que dominios de control asociados con Kimwolf repetidamente usurparan Amazon, Apple, Google y Microsoft en la clasificación pública de Cloudflare de los sitios web más solicitados.
James dijo que la red I2P aún opera a aproximadamente la mitad de su capacidad normal, y que una nueva versión en curso debería traer mejoras de estabilidad.