Durante la última semana, el enorme 'Internet de las cosas' (IoT) conocido como Kimwolf ha estado perturbando The Invisible Internet Project (I2P), una red de comunicación descentralizada e incriptada diseñada para anonimizar y proteger las comunicaciones en línea. Los usuarios de I2P comenzaron a reportar interrupciones en la red alrededor del mismo tiempo que los manipuladores de Kimwolf empezaron a depender de ella para evitar intentos de takedown contra los servidores de control del botín.
Kimwolf es un botín que emergió en el último trimestre de 2025 y se propagó rápidamente, infectando millones de sistemas, transformando dispositivos IoT poco seguros como cajas de transmisión de televisión, marcos digitales y rutas en relays para tráfico malicioso y ataque DDoS distribuido (DDoS) anormalmente grande. I2P es una red descentralizada y orientada a la privacidad que permite a las personas comunicarse e intercambiar información de manera anónima.
'Funciona mediante el enrutamiento de los datos a través de múltiples capas incriptadas a través de nodos operados por voluntarios, ocultando tanto la ubicación del remitente como la del destinatario', explica el sitio web de I2P. 'El resultado es una red segura y resistente al censuramiento diseñada para sitios web privados, mensajería y intercambio de datos'.
El 3 de febrero, los usuarios de I2P comenzaron a quejarse en la página de GitHub de la organización sobre miles de rutas que de repente sobrecargaban la red, impidiendo a los usuarios existentes comunicarse con nodos legítimos. Los usuarios informaron un incremento en el número de nuevas rutas unidas a la red que no podían transmitir datos y que la masiva llegada de nuevos sistemas había sobrecargado la red al punto de que los usuarios ya no podían conectarse.
Cuando uno de los usuarios de I2P preguntó si la red estaba siendo atacada, otro usuario respondió: 'Parece ser así. Mi router físico se congela cuando el número de conexiones supera las 60,000'. Un gráfico compartido por los desarrolladores de I2P mostró una clara disminución en las conexiones exitosas en la red I2P alrededor del mismo tiempo que el botín Kimwolf comenzó a intentar usar la red como alternativa para comunicaciones de último recurso.
El mismo día en que los usuarios de I2P empezaron a notar las interrupciones, los individuos que controlaban Kimwolf publicaron en su canal de Discord que habían accidentalmente perturbado I2P después de intentar unir 700,000 rutas infectadas con Kimwolf como nodos en la red. El operador del botín Kimwolf habló abiertamente sobre lo que estaban haciendo con el botín en un canal de Discord que incluía mi nombre.
Aunque se conoce a Kimwolf como un arma poderosa para lanzar ataques DDoS, las interrupciones causadas esta semana por una parte del botín intentando unirse a I2P son lo que se conoce como 'ataque Sybil', una amenaza en redes P2P donde un solo ente puede perturbar el sistema creando y operando una gran cantidad de identidades falsas pseudónimas. De hecho, el número de rutas infectadas con Kimwolf que intentaron unirse a I2P la semana pasada fue muchas veces más grande que el tamaño normal de la red. La página de Wikipedia sobre I2P dice que la red consta de aproximadamente 55,000 computadoras distribuidas por todo el mundo, con cada participante actuando como tanto un router (para enrutamiento de tráfico) como un cliente.
Sin embargo, Lance James, fundador de la consultoría cibernética Unit 221B basada en Nueva York y fundador original de I2P, dijo a KrebsOnSecurity que la red I2P sigue operando aproximadamente entre 15,000 y 20,000 dispositivos en cualquier día. Un usuario de I2P publicó este gráfico el 10 de febrero, mostrando a miles de rutas —la mayoría de Estados Unidos— que se unían repentinamente a la red.
Benjamin Brundage es fundador de Synthient, una startup que rastrea servicios de proxy y fue la primera en documentar las técnicas únicas de propagación de Kimwolf. Brundage dijo que el operador del botín Kimwolf (o los operadores) han estado tratando de construir un comando y control que no pueda ser fácilmente derribado por compañías de seguridad y operadores de redes trabajando juntos para combatir la expansión del botín. Él declaró: 'No creo que su objetivo sea derrumbar I2P; más bien, están buscando una alternativa para mantener estable el botín en cara a los intentos de derribo'.
El botín Kimwolf creó retos para Cloudflare al final del año pasado cuando comenzó a instruir a millones de dispositivos infectados a usar las configuraciones del sistema de nombres de dominio (DNS) de Cloudflare, causando que dominios de control asociados con Kimwolf repetidamente usurparan a Amazon, Apple, Google y Microsoft en la clasificación pública de los sitios web más solicitados por Cloudflare. James dijo que la red I2P todavía opera aproximadamente a la mitad de su tamaño normal, y que un nuevo lanzamiento se está desplegando que debería traer mejoras de estabilidad para los usuarios en las próximas semanas.