Botnet JDY: 1.500 routers hackeados en 2026

La botnet JDY alcanza 1.500 dispositivos comprometidos y escanea vulnerabilidades en horas

Más de 1.500 routers, firewalls y dispositivos IoT han sido comprometidos por la botnet JDY vinculada a actores estatales chinos, según revela investigación de Lumen's Black Lotus Labs. Lo crítico para founders: esta red no busca lanzar ataques DDoS masivos, sino mapear infraestructuras vulnerables dentro de horas de que se divulgue una nueva vulnerabilidad pública.

Para tu startup, esto significa que el router de la oficina o el firewall perimetral que creías seguro puede estar siendo usado como punto de reconocimiento para futuros ataques dirigidos. La velocidad de escaneo (horas, no días) deja poco margen para reaccionar una vez que se publica un CVE.

¿Qué es la botnet JDY y cómo opera?

La botnet JDY es una red de reconocimiento distribuido asociada a actores vinculados con China, incluyendo el grupo Volt Typhoon. A diferencia de botnets tradicionales diseñadas para ataques DDoS que requieren cientos de miles de dispositivos, JDY mantiene una infraestructura más pequeña pero altamente especializada en service discovery, banner grabbing, recolección de certificados TLS y fingerprinting de protocolos.

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Según el reporte de Black Lotus Labs, la botnet pasó de aproximadamente 650 bots activos en enero de 2024 a más de 1.500 dispositivos comprometidos en junio de 2026. El tráfico observado se concentra fuertemente en Estados Unidos, con especial interés en redes militares y relacionadas, pero la infraestructura comprometida está distribuida globalmente.

Los dispositivos objetivo son principalmente routers SOHO (Small Office/Home Office), firewalls perimetrales, dispositivos NAS y equipos IoT conectados a Internet. La investigación identifica que actores PRC-linkados han explotado vulnerabilidades conocidas en productos de Zyxel, Fortinet, QNAP, Cisco RV320/325, DrayTek Vigor y NETGEAR ProSAFE para construir esta red.

Por qué la velocidad de escaneo es el verdadero riesgo

Lo que distingue a JDY de otras campañas es su capacidad de operacionalizar rápidamente el output de reconocimiento. Los investigadores de Lumen observaron escaneos de JDY apuntando a CVE-2026-35616 (una vulnerabilidad en FortiClient EMS) poco después de que Fortinet divulgara públicamente el fallo.

Este patrón confirma que el reconnaissance no es un fin en sí mismo: los datos recolectados son rapidamente explotados por APTs (Advanced Persistent Threats) vinculados a China para identificar objetivos vulnerables antes de que las organizaciones apliquen parches. Para una startup, esto comprime la ventana de remediación de días a horas.

El módulo de escaneo de JDY soporta múltiples protocolos:

TCP scanning para identificar puertos abiertos
SSL/TLS scanning para recolección de certificados
UDP scanning para servicios no TCP
ICMP probing para descubrimiento de hosts
Banner collection para identificar versiones de software
TLS certificate harvesting para mapeo de infraestructura
Service fingerprinting usando rule sets descargables

El contexto más amplio: 260.000 dispositivos en la botnet PRC-linkada

Es crucial distinguir entre JDY (red de reconnaissance de ~1.500 dispositivos) y la campaña más amplia documentada por el FBI, CNMF y NSA en septiembre de 2024. Según el advisory conjunto, Integrity Technology Group, una compañía basada en la República Popular China, ha controlado una botnet activa desde mediados de 2021 que mantenía regularmente entre decenas y cientos de miles de dispositivos comprometidos.

Al junio de 2024, esta botnet más amplia consistía en más de 260.000 dispositivos, con víctimas identificadas en Norteamérica, Sudamérica, Europa, África, Sudeste Asiático y Australia. La base de datos asociada contenía más de 1.2 millones de registros de dispositivos comprometidos, incluyendo más de 385.000 dispositivos víctimas únicos en Estados Unidos.

Esta infraestructura masiva se usa para ocultar la identidad de los actores mientras despliegan ataques DDoS o comprometen redes objetivo estadounidenses. JDY opera como la capa de reconocimiento que alimenta esta maquinaria más grande.

¿Qué significa esto para tu startup?

Si fundaste una startup tech en LATAM o España, es probable que tu infraestructura perimetral dependa de equipos SOHO o firewalls de gama media. La amenaza JDY demuestra que el perímetro de red ya no es confiable si no se mantiene activamente.

El riesgo no es solo que tu router sea parte de una botnet: es que esté siendo usado para mapear tu propia red interna, identificar servicios expuestos y preparar un ataque dirigido semanas o meses después. Los APTs son pacientes; el reconnaissance de hoy puede convertirse en la brecha de mañana.

Para founders que gestionan su propia infraestructura o supervisan decisiones técnicas, estas son las acciones concretas que debes implementar esta semana:

Acciones inmediatas de mitigación

Aplica parches de seguridad inmediatamente en routers, firewalls y dispositivos IoT. No esperes al "momento conveniente": la ventana entre divulgación y escaneo es de horas. Suscríbete a los feeds de seguridad de tus vendors (Fortinet, Cisco, Zyxel, etc.) y configura alertas críticas.
Elimina interfaces administrativas expuestas a Internet. Deshabilita la administración remota (WAN-side) en todos los dispositivos de borde. Si necesitas acceso remoto, usa VPN con autenticación multifactor, nunca expongas el panel de administración directamente.
Reemplaza credenciales por defecto con contraseñas fuertes. Esto parece obvio, pero sigue siendo el vector de compromiso más común. Usa un password manager y genera credenciales únicas por dispositivo.
Segmenta tu red para aislar dispositivos IoT y equipos SOHO en VLANs separadas de tu infraestructura crítica (servidores, bases de datos, sistemas de producción). Si un router es comprometido, la segmentación limita el movimiento lateral.
Monitoriza tráfico saliente inusual desde dispositivos de borde. Un router que repentinamente inicia escaneos hacia IPs externas o genera tráfico hacia puertos no habituales es una señal de compromiso. Configura alertas en tu firewall para detectar este patrón.
Sustituye equipos end-of-life por hardware mantenido y actualizado. Dispositivos como Cisco RV320/325, DrayTek Vigor antiguos o NETGEAR ProSAFE sin soporte de firmware son objetivos prioritarios. Si el vendor ya no publica parches, el dispositivo es una liability, no un asset.

Lecciones para la estrategia de ciberseguridad en startups

La botnet JDY ilustra un cambio fundamental en el panorama de amenazas: el reconnaissance se ha automatizado y acelerado. Ya no hay tiempo para evaluar si una vulnerabilidad "te afecta" después de que se divulga. El escaneo comienza antes de que termines de leer el advisory.

Para startups con recursos limitados, la prioridad debe ser reducir la superficie de ataque externa antes que implementar herramientas sofisticadas de detección. Un router parcheado y sin administración expuesta es más seguro que un SIEM de $50K/mes monitoreando un perímetro vulnerable.

El advisory conjunto del FBI, CNMF y NSA de septiembre de 2024 enfatiza que los actores PRC-linkados continúan comprometiendo dispositivos de borde para construir infraestructura de proxy. Esto no es espionaje tradicional: es preparación del campo de batalla para operaciones futuras que pueden incluir desde robo de propiedad intelectual hasta ataques disruptivos.

Como founder, tu responsabilidad no es convertirte en experto en ciberseguridad, sino institucionalizar prácticas básicas de higiene digital en tu startup. Eso incluye inventario actualizado de dispositivos de red, política de parcheo con SLAs definidos (ej. "crítico = 48 horas"), y revisión trimestral de reglas de firewall.