L'investigador Thibault Seret va explicar en la conferència Sleuthcon, centrada en ciberdelinqüència i celebrada divendres passat, 6 de juny de 2025, a la ciutat d'Arlington (Virgínia), com els delinqüents cibernètics estan adoptant enfocaments alternatius per evadir les forces de l'ordre de tot el món i continuar oferint els seus serveis al mercat gris, conegut per ser «a prova de bales».

Les activitats procedents del mercat gris són en el límit de la legalitat o fora d'ell. Les empreses que actuen al mercat gris busquen generar ingressos en una àmplia gamma d'activitats, com a distribució d'anuncis publicitaris electrònics no sol·licitats, subministrament de programari fals i animar a visitar recursos a Internet que es cobren.

Generalment, les empreses que actuen al mercat gris utilitzen tècniques de programes hacker per accedir als ordinadors dels usuaris sense que aquests el sàpiguen, esquivant la protecció dels programaris antivirus. Ara, els ciberdelinqüents ja no depenen de proveïdors d'allotjament web fora de l'abast de les forces de l'ordre, sinó que han optat per oferir VPN i altres serveis servidor intermediari per emmascarar les adreces IP dels clients.

Tècniques que camuflen el tràfic maliciós amb el legítim a Internet per passar desapercebuda

Un servei servidor intermediari actua com a mitjancer entre un dispositiu (vegeu el teu ordinador o smartphone) i el servidor que es vol connectar. Per dir-lo d'una altra manera, és una espècie de «pont» que rep les teves sol·licituds i les reexpedeix, per després tornar una resposta. Els serveis servidor intermediari tenen diversos usos, però alguns dels més comuns són ocultar l'adreça IP, accedir a contingut restringit per ubicació geogràfica i millorar la seguretat.

Encara que s'assemblen en alguns aspectes, un servei servidor intermediari i una VPN no són el mateix. Mentre que la VPN xifra i redirigeix tot el tràfic d'Internet d'un dispositiu, protegint les dades contra l'espionatge, el servidor intermediari només canvia la IP i, per normal general, no xifra les dades, per la qual cosa no és tan segur.

Pel que sembla, alguns proveïdors de servei estan optant per oferir VPN i serveis servidor intermediari dissenyats específicament per rotar i emmascarar les adreces IP dels clients, a més d'oferir una infraestructura que, o bé no registra el tràfic intencionalment, o bé barreja el tràfic de diverses fonts. Encara que no és una tecnologia nova, Seret i altres investigadors han destacat que està en auge en els dos últims anys.

El problema és que, tècnicament, no es pot distingir què trafico en un node és dolent i quin és bo. És la màgia d'un servei servidor intermediari: no es pot saber qui ets. És bo per a la llibertat a Internet, però és extremadament difícil analitzar el que passa i identificar l'activitat maliciosa

Els ciberdelinqüents i empreses s'estan recolzant molt en els «proxies residencials»; una sèrie de nodes descentralitzats que poden executar-se en dispositius domèstics, com telèfons mòbils intel·ligents amb Android antics o ordinadors portàtils de gamma baixa, i que ofereixen adreces IP reals i rotatives assignades a llars i oficines. D'aquesta manera, s'obté anonimat i privacitat per continuar operant de manera maliciosa, com explica WIRED.