El Departamento de Justicia de EE. UU. presentó cargos contra un joven de 22 años, Ethan Foltz, de Eugene, Oregón, señalado como el presunto creador y operador de la botnet conocida como "RapperBot", una red de dispositivos comprometidos usada para lanzar ataques DDoS por encargo.
Según las autoridades, Foltz habría alquilado esta botnet a otros ciberdelincuentes, quienes la utilizaron para atacar múltiples organizaciones.
La red maliciosa fue desmantelada el pasado 6 de agosto durante una redada en su casa, como parte de la Operación PowerOff, un esfuerzo coordinado para acabar con servicios de ciberataques disponibles en la dark web.
La botnet de malware conocida como RapperBot, también llamada "Eleven Eleven" y "CowBot", ha estado activa desde al menos 2021. Esta amenaza, basada en el código de Mirai, logró infectar decenas de miles de DVRs (grabadoras de video digital) y routers vulnerables alrededor del mundo.
Con una capacidad de ataque estimada entre 2 y 6 Tbps (terabits por segundo), RapperBot fue una herramienta poderosa dentro del arsenal cibercriminal.
Según el Departamento de Justicia de EE. UU., esta botnet fue utilizada para atacar más de 18,000 objetivos en al menos 80 países, incluyendo agencias gubernamentales estadounidenses, plataformas de medios, empresas de videojuegos y grandes firmas tecnológicas.
Y como si eso no fuera suficiente, en 2023 RapperBot evolucionó aún más: incorporó un módulo de criptominería, lo que le permitió sacar provecho económico extra al explotar los recursos de los dispositivos comprometidos, sumando ingresos ilícitos a través del minado de criptomonedas.
Flujo de ejecución de RapperBot
Amazon Web Services (AWS) jugó un papel clave en la investigación de RapperBot, colaborando con las autoridades estadounidenses para rastrear su infraestructura de comando y control y proporcionar inteligencia procesable.
Según datos de AWS, solo desde abril de 2025, RapperBot estuvo detrás de más de 370,000 ataques DDoS. Estos ataques variaron en intensidad, alcanzando velocidades de varios terabits por segundo y generando más de mil millones de paquetes por segundo (pps). Toda esta potencia provenía de una red de más de 45,000 dispositivos infectados en al menos 39 países.
Aunque muchos de estos ataques duraban apenas segundos, sus efectos eran devastadores. El Departamento de Justicia (DOJ) explicó que un ataque de solo 30 segundos con una potencia de más de 2 Tbps podía causar pérdidas de entre $500 y $10,000 dólares para las víctimas. En muchos casos, estos ataques venían acompañados de amenazas de extorsión: los operadores de RapperBot exigían pagos a cambio de detener las ofensivas.
La denuncia también señala que algunos de los "clientes" que alquilaban la botnet utilizaban esta estrategia de chantaje digital como un modelo de negocio ilícito.
En cuanto al responsable, Ethan Foltz fue formalmente acusado de ayudar e instigar intrusiones informáticas. Si es declarado culpable, podría enfrentar hasta 10 años de prisión. Sin embargo, por ahora, Foltz no está detenido. Fue citado judicialmente tras la presentación oficial de los cargos y permanece en libertad mientras avanza el proceso legal.
Por el lado técnico, desde que las autoridades incautaron la infraestructura de RapperBot el 6 de agosto de 2025, no se ha detectado nueva actividad maliciosa asociada con esta botnet. Todo apunta a que no existen servidores C2 de respaldo en manos de otros operadores, lo que sugiere que la red fue completamente desmantelada.
Conoce más sobre: PipeMagic: El Troyano que Usa Fallos de Windows para Lanzar Ransomware
El caso RapperBot deja una lección clara: aunque los ciberdelincuentes operen desde las sombras, la colaboración internacional entre agencias de seguridad, empresas tecnológicas y gobiernos puede marcar una verdadera diferencia.
Pero también deja al descubierto varias áreas urgentes donde todavía hay mucho por hacer si queremos prevenir futuros ataques a gran escala. Entre ellas destacan:
Regulación más estricta para los dispositivos IoT, que hoy en día siguen saliendo al mercado con vulnerabilidades básicas.
Educación y concientización del usuario, porque muchas veces, una contraseña débil o una mala práctica abre la puerta al ataque.
Mayor inversión en tecnologías de detección y monitoreo, que permitan identificar amenazas en tiempo real antes de que causen daños mayores.
RapperBot no será el último caso. Pero con acciones coordinadas y decisiones inteligentes, podemos estar mucho mejor preparados para el próximo.