TL;DR:

Autoridades de Canadá arrestaron en Ottawa a Jacob Butler, alias “Dort”, por una orden de extradición de Estados Unidos.

El Departamento de Justicia acusa que KimWolf infectó más de un millón de dispositivos; reportes privados elevan la cifra a casi 2 millones.

La botnet habría lanzado más de 25,000 comandos de ataque y estuvo vinculada a eventos DDoS cercanos a 30 Tbps.

Autoridades de Estados Unidos y Canadá arrestaron a Jacob Butler, un canadiense de 23 años conocido en línea como “Dort”, por su presunta participación en la operación de KimWolf, una botnet de DDoS-for-hire usada para atacar servidores y computadoras en distintos países. El caso importa porque muestra cómo cámaras web, marcos digitales, routers y otros dispositivos IoT comunes pueden convertirse en infraestructura criminal sin que sus dueños lo sepan.

KimWolf es una botnet de dispositivos IoT presuntamente usada como servicio de renta para ataques DDoS, es decir, ataques que saturan servidores o sitios web con tráfico basura hasta dejarlos fuera de línea.

Butler fue detenido en Ottawa el miércoles 20 de mayo de 2026, de acuerdo con el Departamento de Justicia de Estados Unidos. La denuncia penal, revelada en el Distrito de Alaska el jueves 21 de mayo, lo acusa de delitos relacionados con el desarrollo y operación de KimWolf. La queja había permanecido sellada desde el 10 de abril de 2026.

El cargo en Estados Unidos es aiding and abetting computer intrusion, una acusación por ayudar e instigar intrusiones informáticas. Si lo declaran culpable, Butler enfrenta una pena máxima de 10 años de prisión. Por ahora, el caso sigue en etapa acusatoria: la denuncia penal es una alegación y Butler mantiene la presunción de inocencia.

La cifra clave: más de un millón confirmado, casi 2 millones según reportes privados

El Departamento de Justicia afirma que KimWolf infectó más de un millón de dispositivos en el mundo, incluidos equipos ubicados en Alaska. Reportes de BleepingComputer y estimaciones atribuidas a investigadores de seguridad colocan la escala cerca de 2 millones de dispositivos, pero esa cifra no aparece como número oficial en el comunicado del DOJ.

Esa diferencia importa. En una investigación penal, la cifra oficial marca el estándar documental; las estimaciones privadas ayudan a dimensionar el impacto técnico, pero deben leerse como aproximaciones.

La acusación describe a KimWolf como un servicio de cybercrime-as-a-service. En lugar de usar directamente todos los dispositivos comprometidos, sus operadores presuntamente rentaban acceso a la red para que otros ciberdelincuentes lanzaran ataques.

Entre los dispositivos comprometidos aparecen:

• Cámaras web
• Marcos digitales
• DVRs
• Routers Wi-Fi
• Dispositivos Android TV o de streaming, según reportes especializados

Para usuarios en México y Latinoamérica, el dato relevante no es que el caso haya ocurrido aquí —las autoridades no reportaron eso—, sino que el tipo de hardware involucrado es cotidiano: cámaras baratas, routers olvidados, cajas Android y dispositivos inteligentes que rara vez reciben actualizaciones.

KimWolf fue vinculada a ataques cercanos a 30 Tbps

El DOJ asegura que KimWolf estuvo vinculada a ataques DDoS medidos en casi 30 terabits por segundo, una escala descrita por fiscales como récord en volumen de ataque registrado. La botnet también habría emitido más de 25,000 comandos de ataque.

Los ataques afectaron computadoras y servidores en distintos países, incluidos rangos de IP de la Department of Defense Information Network de Estados Unidos. En algunos casos, las pérdidas financieras para víctimas superaron 1 millón de dólares, según los documentos citados por la fiscalía.

La investigación conectó a Butler con la administración de KimWolf mediante datos de dirección IP, información de cuentas en línea, registros de transacciones y mensajes obtenidos por procesos legales. Ese rastro digital, según la acusación, permitió vincular la identidad “Dort” con la operación técnica y comercial de la botnet.

La redada fue más grande que un solo arresto

El arresto de Butler no ocurrió aislado. En marzo de 2026, autoridades de Estados Unidos, Canadá y Alemania ejecutaron una operación contra infraestructura de comando y control usada por Aisuru, KimWolf, JackSkid y Mossad, cuatro botnets IoT señaladas por ataques DDoS a gran escala.

El DOJ dijo entonces que esas cuatro botnets infectaron en conjunto más de 3 millones de dispositivos en el mundo y emitieron cientos de miles de comandos de ataque. KimWolf representó más de 25,000 de esos comandos, mientras Aisuru superó 200,000 y JackSkid más de 90,000.

En paralelo, el Distrito Central de California reveló órdenes de incautación contra servicios que daban soporte a 45 plataformas DDoS-for-hire. Algunas páginas fueron redirigidas a una “splash page” autorizada por autoridades estadounidenses para advertir que los servicios DDoS son ilegales.

Por qué el caso KimWolf importa fuera de Estados Unidos y Canadá

El caso exhibe un problema incómodo: buena parte del poder de una botnet moderna no viene de servidores sofisticados, sino de aparatos domésticos mal protegidos. El usuario compra una cámara, una TV box o un router barato; el fabricante deja de actualizarlo; el atacante lo convierte en tráfico de ataque.

Para empresas, medios, escuelas, tiendas en línea y plataformas de gaming, la consecuencia es directa: un servicio criminal puede rentar capacidad de ataque sin construirla desde cero. Para usuarios domésticos, el riesgo es menos visible, pero real: su conexión y sus dispositivos pueden quedar atrapados en una red criminal sin señales obvias.

La detención de Butler no elimina por sí sola el mercado de DDoS-for-hire, pero sí golpea una pieza importante de esa economía: la administración técnica, la infraestructura y la confianza entre operadores y clientes. En ciberseguridad, cortar esa cadena suele importar tanto como apagar servidores.

Fuentes: 1, 2, 3, 4, 5