¿Tu dispositivo de streaming está alquilando tu red?

¿Estás seguro de que tu dispositivo de Android TV es seguro? Ahorrar en suscripciones de streaming podría convertir tu dispositivo en parte de una red de bots, dejar tus direcciones IP a disposición de terceros y provocarte otros graves problemas.

Dispositivos de streaming maliciosos

Netflix, Apple TV+, Disney+, Hulu, Amazon Prime, YouTube Premium… hoy, en promedio, una familia que cumple la ley paga de cinco a diez suscripciones solo para ver sus programas preferidos y paga por eso más de 85 euros al mes. No es de extrañar, entonces, que las redes sociales y los mercados online observen un aumento en la demanda de los “dispositivos mágicos” que aparecieron a fines de 2025: dispositivos de streaming Android que prometen desbloquear miles de canales y todos los servicios de streaming sin abonar suscripción.

Los anuncios de estos dispositivos aparecen por todo TikTok e Instagram: los influencers sonrientes desempacan los dispositivos SuperBox, los conectan a un televisor y navegan sin cesar por los canales. Parece el mejor truco del mundo para no pagar la gran cantidad de suscripciones disponibles en la actualidad, ¿verdad? En realidad, es una de las formas más fáciles de invitar a una botnet a tu red doméstica.

Captura de pantalla de un vídeo de TikTok que muestra un dispositivo SuperBox en acción

Un vídeo promocional en TikTok que explica lo genial que es que no de la den con queso poder cancelar todas tus suscripciones

¿Cuál es el problema con estos dispositivos de streaming baratos?

Ya han surgido historias sobre dispositivos de streaming maliciosos, pero en la actualidad, su marketing ha alcanzado una escala realmente alarmante.

A fines de 2025, analistas examinaron varios modelos del popular dispositivo SuperBox que está disponible en las principales tiendas minoristas y mercados en línea. Los hallazgos fueron realmente preocupantes: apenas se encendía, los dispositivos entraban en contacto con los servidores de la aplicación de mensajería china Tencent QQ, y con el servicio proxy de Grass para alquilar a terceros el ancho de banda del propietario del dispositivo.

Dentro del firmware, los investigadores descubrieron aplicaciones que no tenían nada que ver con un reproductor de medios: un escáner de red, un analizador de tráfico y herramientas para el secuestro de DNS. En consecuencia, el dispositivo no solo transmite contenido pirateado, sino que también analiza la red local en busca de otros objetivos (como interfaces SCADA industriales) y está listo para participar en ataques DDoS. También se descubrió que los dispositivos SuperBox contenían carpetas con el nombre delator “secondstage” (segunda etapa), un indicio claro de que se trataba de malware de múltiples etapas.

Más recientemente, en abril de 2026, el pódcast de Darknet Diaries incluyó una entrevista con un investigador de seguridad conocido por el alias D3ada55, quien compartió muchos detalles intrigantes sobre estos dispositivos, como el hecho de que todavía se vendían abiertamente en las principales plataformas como Amazon, Walmart y Best Buy.

Las crónicas de la infección: de BADBOX a Keenadu

El caso de SuperBox está lejos de ser el único caso en el que dispositivos Android se han convertido en nodos de botnet, o se han vendido directamente infectados. Estos son los casos más recientes:

  • BADBOX 2.0. En julio de 2025, Google presentó una demanda contra los operadores de una botnet que vulneró más de 10 millones de dispositivos Android, en su mayoría dispositivos de streaming, tabletas y proyectores baratos que carecían de la certificación Google Play Protect. Como mencionamos antes, BADBOX 2.0 se dirige específicamente a los dispositivos de streaming y funciona en simultáneo como una red proxy y un motor de fraude publicitario.
  • Kimwolf. En diciembre de 2025, el equipo de QiAnXin XLab descubrió una botnet DDoS que había secuestrado alrededor de 1,8 millones de dispositivos Android. El hardware infectado incluía modelos genéricos de fabricantes sin marca con nombres de alto perfil como TV BOX, SuperBox, XBOX, SmartTV y otros. El alcance de la infección fue enorme, ya que estos dispositivos vulnerados se vendieron por todo el mundo. Entre los países más afectados se encuentran Brasil, India, Estados Unidos, Argentina, Sudáfrica, Filipinas y México.
  • Keenadu. Nuestros expertos descubrieron este malware al acecho en el firmware de dispositivos nuevos en noviembre de 2025, aunque no recibió mucha atención hasta que publicamos un estudio al respecto en febrero de 2026. Keenadu se hace pasar por componentes legítimos del sistema, incrustándose incluso en aplicaciones que se desbloquean con reconocimiento facial, lo que puede otorgar a los atacantes acceso a datos biométricos, bancarios y mensajes personales.

Todas estas historias comparten el mismo origen: el troyano Triada, que nuestros investigadores registraron por primera vez en 2016 y lo apodaron “uno de los troyanos móviles más avanzados”. Durante la última década, ha evolucionado de una pieza estándar de malware a una puerta trasera modular integrada directamente en el firmware durante la fabricación.

Cómo funciona el esquema de la infección

Los fabricantes de dispositivos de streaming baratos reducen gastos en absolutamente todo: certificación de Google Play Protect, auditorías de firmware y actualizaciones de seguridad. Muchos de estos dispositivos se ejecutan en el Proyecto de código abierto de Android sin ninguna garantía de seguridad. En algún lugar de la cadena de suministro, ya sea en la fábrica, a través de un intermediario o en un distribuidor, se inyecta una puerta trasera en la imagen del firmware. Nuestros expertos sospechan que es posible que el propio fabricante ni siquiera sea consciente de la vulneración.

La magnitud de la infección convierte millones de dispositivos idénticos en la base perfecta para una botnet: cada dispositivo vulnerado representa una dirección IP única que se puede alquilar a cualquiera. Los operadores de botnet como Kimwolf monetizan esto no solo a través de ataques DDoS distribuidos, sino también al revender el ancho de banda de los televisores inteligentes y los dispositivos de streaming infectados.

Qué significa esto para ti

Un dispositivo de streaming infectado se encuentra justo en tu sala de estar, conectado a la red Wi-Fi de tu hogar. Eso significa que puede ver teléfonos inteligentes que ejecutan aplicaciones bancarias, unidades de almacenamiento conectado a la red (NAS) que contienen archivos familiares, cámaras IP, cerraduras inteligentes, ordenadores portátiles laborales y cualquier otro dispositivo conectado a tu red Wi-Fi.

Con este tipo de punto de apoyo dentro de tu red doméstica, un atacante puede interceptar el tráfico no cifrado, falsificar solicitudes de DNS, analizar puertos y buscar vulnerabilidades en dispositivos cercanos. Además, puede usar tu dirección IP para llevar a cabo actividades fraudulentas. Como resultado, en el mejor de los casos, tu IP terminará en una lista negra y los servicios legítimos comenzarán a bloquearte por actividad sospechosa; en el peor de los casos, las fuerzas del orden podrían llamar a tu puerta.

Cómo detectar un dispositivo potencialmente peligroso

Debes estar alerta si un dispositivo:

  • Se vende con una marca sin nombre como T95, X96Q, MX10, TV BOX, SuperBox o algo similar.
  • Promete acceso gratuito de por vida a servicios premium de pago por una tarifa única.
  • Requiere que desactives Google Play Protect o instales APK de terceros durante la configuración inicial.
  • Carece de la certificación de Play Protect por completo.
  • Se promueve a través de campañas de spam agresivas en las redes sociales.

Cómo evitar alojar un nodo de botnet

  • Compra dispositivos de streaming certificados que incluyan Google Play Protect o compra dispositivos directamente de operadores de telecomunicaciones y proveedores de servicios de Internet de buena reputación.
  • Aísla todos los dispositivos de hogar inteligente. Configura una red Wi-Fi independiente en tu router doméstico para dispositivos de streaming, cámaras, altavoces inteligentes, aspiradoras robotizadas y equipos similares, mientras mantienes los teléfonos inteligentes, las unidades NAS y los ordenadores en la red principal. Esto evita que el malware se propague a los dispositivos críticos.
  • Actualiza el firmware con regularidad en todos sus dispositivos y no te olvides del router: es otro eslabón vulnerable en la cadena.
  • Elimina cualquier aplicación de tu dispositivo de streaming Android que no hayas instalado tú mismo, en especial las tiendas de aplicaciones alternativas, los “amplificadores” de Wi-Fi y los “limpiadores del sistema”.
  • Supervisa tu tráfico. Los routers modernos y Kaspersky Premium pueden mostrar dónde se conectan los diferentes dispositivos. Las conexiones frecuentes de un reproductor de medios a servidores en China son una gran señal de alerta de seguridad.
  • Instala Kaspersky Premium en todos los dispositivos: protege contra los troyanos y bloquea las páginas de phishing que se utilizan a menudo para distribuir archivos APK infectados.
  • No desactives Google Play Protect y evita instalar APK de fuentes sospechosas: este es el vector de infección principal que omite la tienda oficial de aplicaciones.
  • En caso de duda, devuelve el dispositivo de streaming. No vale la pena arriesgar tus datos biométricos, bancarios o la reputación de tu dirección IP con un dispositivo de streaming barato.

¿Quieres saber de qué otra manera proteger los dispositivos de hogar inteligente? Obtén más información en nuestras publicaciones relacionadas:

¿Te espían tu televisor, tu smartphone y tus altavoces inteligentes?

¿Tu router está trabajando en secreto para servicios de inteligencia extranjeros?

Un hogar no tan inteligente

La mejor estrategia para tu hogar inteligente

Cómo proteger tu hogar inteligente

Consejos
  • Para el resto de países