{"id":32149,"date":"2026-06-01T16:56:13","date_gmt":"2026-06-01T14:56:13","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=32149"},"modified":"2026-06-01T16:56:13","modified_gmt":"2026-06-01T14:56:13","slug":"android-tv-botnet","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/android-tv-botnet\/32149\/","title":{"rendered":"\u00bfTu dispositivo de streaming est\u00e1 alquilando tu red?"},"content":{"rendered":"<p>Netflix, Apple\u00a0TV+, Disney+, Hulu, Amazon\u00a0Prime, YouTube\u00a0Premium\u2026 hoy, en promedio, una familia que cumple la ley <a href=\"https:\/\/www.kaspersky.es\/blog\/how-to-manage-subscriptions-safely\/32137\/\" target=\"_blank\" rel=\"noopener\">paga de cinco a diez\u00a0suscripciones<\/a> solo para ver sus programas preferidos y paga por eso m\u00e1s de 85 euros al mes. No es de extra\u00f1ar, entonces, que las redes sociales y los mercados online observen un aumento en la demanda de los \u201cdispositivos m\u00e1gicos\u201d que aparecieron a fines de 2025: dispositivos de streaming Android que prometen desbloquear miles de canales y todos los servicios de streaming sin abonar suscripci\u00f3n.<\/p>\n<p>Los anuncios de estos dispositivos aparecen por todo TikTok e Instagram: los influencers sonrientes desempacan los dispositivos SuperBox, los conectan a un televisor y navegan sin cesar por los canales. Parece el mejor truco del mundo para no pagar la gran cantidad de suscripciones disponibles en la actualidad, \u00bfverdad? En realidad, es una de las formas m\u00e1s f\u00e1ciles de invitar a una botnet a tu red dom\u00e9stica.<\/p>\n<div id=\"attachment_32150\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2026\/06\/01163429\/android-tv-botnet-01.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-32150\" class=\"wp-image-32150 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2026\/06\/01163429\/android-tv-botnet-01.jpg\" alt=\"Captura de pantalla de un v\u00eddeo de TikTok que muestra un dispositivo SuperBox en acci\u00f3n\" width=\"1024\" height=\"762\"><\/a><p id=\"caption-attachment-32150\" class=\"wp-caption-text\">Un v\u00eddeo promocional en TikTok que explica lo genial que es <s>que no de la den con queso<\/s>\u00a0poder cancelar todas tus suscripciones<\/p><\/div>\n<h2>\u00bfCu\u00e1l es el problema con estos dispositivos de streaming baratos?<\/h2>\n<p>Ya han surgido historias sobre dispositivos de streaming maliciosos, pero en la actualidad, su marketing ha alcanzado una escala realmente alarmante.<\/p>\n<p>A fines de 2025, analistas <a href=\"https:\/\/www.foxnews.com\/tech\/why-your-android-tv-box-may-secretly-part-botnet\" target=\"_blank\" rel=\"noopener nofollow\">examinaron<\/a> varios modelos del popular dispositivo SuperBox que est\u00e1 disponible en las principales tiendas minoristas y mercados en l\u00ednea. Los hallazgos fueron realmente preocupantes: apenas se encend\u00eda, los dispositivos entraban en contacto con los servidores de la aplicaci\u00f3n de mensajer\u00eda china Tencent QQ, y con el servicio proxy de Grass para alquilar a terceros el ancho de banda del propietario del dispositivo.<\/p>\n<p>Dentro del firmware, los investigadores descubrieron aplicaciones que no ten\u00edan nada que ver con un reproductor de medios: un esc\u00e1ner de red, un analizador de tr\u00e1fico y herramientas para el secuestro de DNS. En consecuencia, el dispositivo no solo transmite contenido pirateado, sino que tambi\u00e9n analiza la red local en busca de otros objetivos (como interfaces SCADA industriales) y est\u00e1 listo para participar en ataques DDoS. Tambi\u00e9n se descubri\u00f3 que los dispositivos SuperBox conten\u00edan carpetas con el nombre delator \u201csecondstage\u201d (segunda etapa), un indicio claro de que se trataba de malware de m\u00faltiples etapas.<\/p>\n<p>M\u00e1s recientemente, en abril de 2026, el p\u00f3dcast de Darknet\u00a0Diaries incluy\u00f3 una <a href=\"https:\/\/darknetdiaries.com\/episode\/172\/\" target=\"_blank\" rel=\"noopener nofollow\">entrevista<\/a> con un investigador de seguridad conocido por el alias D3ada55, quien comparti\u00f3 muchos detalles intrigantes sobre estos dispositivos, como el hecho de que todav\u00eda se vend\u00edan abiertamente en las principales plataformas como Amazon, Walmart y Best\u00a0Buy.<\/p>\n<h2>Las cr\u00f3nicas de la infecci\u00f3n: de BADBOX a Keenadu<\/h2>\n<p>El caso de SuperBox est\u00e1 lejos de ser el \u00fanico caso en el que dispositivos Android se han convertido en nodos de botnet, o se han vendido directamente infectados. Estos son los casos m\u00e1s recientes:<\/p>\n<ul>\n<li><strong>BADBOX\u00a02.0.<\/strong> En julio de 2025, Google present\u00f3 una demanda contra los operadores de una botnet que vulner\u00f3 m\u00e1s de 10\u00a0millones de dispositivos Android, en su mayor\u00eda dispositivos de streaming, tabletas y proyectores baratos que carec\u00edan de la certificaci\u00f3n Google\u00a0Play\u00a0Protect. Como <a href=\"https:\/\/www.kaspersky.es\/blog\/growing-2026-android-threats-and-protection\/31816\/\" target=\"_blank\" rel=\"noopener\">mencionamos antes<\/a>, BADBOX\u00a02.0 se dirige espec\u00edficamente a los dispositivos de streaming y funciona en simult\u00e1neo como una red proxy y un motor de fraude publicitario.<\/li>\n<li><strong>Kimwolf<\/strong>. En diciembre de 2025, el equipo de QiAnXin\u00a0XLab <a href=\"https:\/\/blog.xlab.qianxin.com\/kimwolf-botnet-en\/\" target=\"_blank\" rel=\"noopener nofollow\">descubri\u00f3<\/a> una botnet DDoS que hab\u00eda secuestrado alrededor de 1,8\u00a0millones de dispositivos Android. El hardware infectado inclu\u00eda modelos gen\u00e9ricos de fabricantes sin marca con nombres de alto perfil como TV\u00a0BOX, SuperBox, XBOX, SmartTV y otros. El alcance de la infecci\u00f3n fue enorme, ya que estos dispositivos vulnerados se vendieron por todo el mundo. Entre los pa\u00edses m\u00e1s afectados se encuentran Brasil, India, Estados Unidos, Argentina, Sud\u00e1frica, Filipinas y M\u00e9xico.<\/li>\n<li><strong>Keenadu<\/strong>. Nuestros expertos descubrieron este malware al acecho en el firmware de dispositivos nuevos en noviembre de 2025, aunque no recibi\u00f3 mucha atenci\u00f3n hasta que <a href=\"https:\/\/securelist.lat\/keenadu-android-backdoor\/100771\/\" target=\"_blank\" rel=\"noopener\">publicamos un estudio al respecto en febrero de 2026<\/a>. Keenadu se hace pasar por componentes leg\u00edtimos del sistema, incrust\u00e1ndose incluso en aplicaciones que se desbloquean con reconocimiento facial, lo que puede otorgar a los atacantes acceso a datos biom\u00e9tricos, bancarios y mensajes personales.<\/li>\n<\/ul>\n<p>Todas estas historias comparten el mismo origen: el troyano Triada, que nuestros investigadores <a href=\"https:\/\/www.kaspersky.es\/blog\/triada-trojan\/7884\/\" target=\"_blank\" rel=\"noopener\">registraron por primera vez<\/a> en 2016 y lo apodaron \u201cuno de los troyanos m\u00f3viles m\u00e1s avanzados\u201d. Durante la \u00faltima d\u00e9cada, ha <a href=\"https:\/\/www.wired.com\/story\/android-tv-streaming-boxes-china-backdoor\/\" target=\"_blank\" rel=\"noopener nofollow\">evolucionado<\/a> de una pieza est\u00e1ndar de malware a una puerta trasera modular <a href=\"https:\/\/www.kaspersky.es\/blog\/trojan-in-fake-smartphones\/30910\/\" target=\"_blank\" rel=\"noopener\">integrada<\/a> directamente en el firmware durante la fabricaci\u00f3n.<\/p>\n<h2>C\u00f3mo funciona el esquema de la infecci\u00f3n<\/h2>\n<p>Los fabricantes de dispositivos de streaming baratos reducen gastos en absolutamente todo: certificaci\u00f3n de Google Play Protect, auditor\u00edas de firmware y actualizaciones de seguridad. Muchos de estos dispositivos se ejecutan en el Proyecto de c\u00f3digo abierto de Android <a href=\"https:\/\/www.malwarebytes.com\/blog\/news\/2025\/03\/android-botnet-badbox-largely-disrupted\" target=\"_blank\" rel=\"noopener nofollow\">sin ninguna garant\u00eda de seguridad<\/a>. En alg\u00fan lugar de la cadena de suministro, ya sea en la f\u00e1brica, a trav\u00e9s de un intermediario o en un distribuidor, se inyecta una puerta trasera en la imagen del firmware. Nuestros expertos sospechan que es posible que el propio fabricante ni siquiera sea consciente de la vulneraci\u00f3n.<\/p>\n<p>La magnitud de la infecci\u00f3n convierte millones de dispositivos id\u00e9nticos en la base perfecta para una botnet: cada dispositivo vulnerado representa una direcci\u00f3n IP \u00fanica que se puede alquilar a cualquiera. Los operadores de botnet como Kimwolf monetizan esto no solo a trav\u00e9s de ataques DDoS distribuidos, sino tambi\u00e9n al revender el ancho de banda de los televisores inteligentes y los dispositivos de streaming infectados.<\/p>\n<h2>Qu\u00e9 significa esto para ti<\/h2>\n<p>Un dispositivo de streaming infectado se encuentra justo en tu sala de estar, conectado a la red Wi-Fi de tu hogar. Eso significa que puede ver tel\u00e9fonos inteligentes que ejecutan aplicaciones bancarias, unidades de almacenamiento conectado a la red (NAS) que contienen archivos familiares, c\u00e1maras IP, cerraduras inteligentes, ordenadores port\u00e1tiles laborales y cualquier otro dispositivo conectado a tu red Wi-Fi.<\/p>\n<p>Con este tipo de punto de apoyo dentro de tu red dom\u00e9stica, un atacante puede interceptar el tr\u00e1fico no cifrado, falsificar solicitudes de DNS, analizar puertos y buscar vulnerabilidades en dispositivos cercanos. Adem\u00e1s, puede usar tu direcci\u00f3n IP para llevar a cabo actividades fraudulentas. Como resultado, en el mejor de los casos, tu IP terminar\u00e1 en una lista negra y los servicios leg\u00edtimos comenzar\u00e1n a bloquearte por actividad sospechosa; en el peor de los casos, las fuerzas del orden podr\u00edan llamar a tu puerta.<\/p>\n<h2>C\u00f3mo detectar un dispositivo potencialmente peligroso<\/h2>\n<p>Debes estar alerta si un dispositivo:<\/p>\n<ul>\n<li>Se vende con una marca sin nombre como T95, X96Q, MX10, TV\u00a0BOX, SuperBox o algo similar.<\/li>\n<li>Promete acceso gratuito de por vida a servicios premium de pago por una tarifa \u00fanica.<\/li>\n<li>Requiere que desactives Google\u00a0Play\u00a0Protect o instales APK de terceros durante la configuraci\u00f3n inicial.<\/li>\n<li>Carece de la certificaci\u00f3n de Play\u00a0Protect por completo.<\/li>\n<li>Se promueve a trav\u00e9s de campa\u00f1as de spam agresivas en las redes sociales.<\/li>\n<\/ul>\n<h2>C\u00f3mo evitar alojar un nodo de botnet<\/h2>\n<ul>\n<li>Compra dispositivos de streaming certificados que incluyan <a href=\"https:\/\/www.android.com\/certified\/partners\/\" target=\"_blank\" rel=\"noopener nofollow\">Google\u00a0Play\u00a0Protect<\/a> o compra dispositivos directamente de operadores de telecomunicaciones y proveedores de servicios de Internet de buena reputaci\u00f3n.<\/li>\n<li>A\u00edsla todos los dispositivos de hogar inteligente. Configura una red Wi-Fi independiente en tu router dom\u00e9stico para dispositivos de streaming, c\u00e1maras, altavoces inteligentes, aspiradoras robotizadas y equipos similares, mientras mantienes los tel\u00e9fonos inteligentes, las unidades NAS y los ordenadores en la red principal. Esto evita que el malware se propague a los dispositivos cr\u00edticos.<\/li>\n<li>Actualiza el firmware con regularidad en todos sus dispositivos y no te olvides del router: es otro eslab\u00f3n vulnerable en la cadena.<\/li>\n<li>Elimina cualquier aplicaci\u00f3n de tu dispositivo de streaming Android que no hayas instalado t\u00fa mismo, en especial las tiendas de aplicaciones alternativas, los \u201camplificadores\u201d de Wi-Fi y los \u201climpiadores del sistema\u201d.<\/li>\n<li>Supervisa tu tr\u00e1fico. Los routers modernos y <a href=\"https:\/\/www.kaspersky.es\/premium?icid=es_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0pueden mostrar d\u00f3nde se conectan los diferentes dispositivos. Las conexiones frecuentes de un reproductor de medios a servidores en China son una gran se\u00f1al de alerta de seguridad.<\/li>\n<li>Instala <strong><a href=\"https:\/\/www.kaspersky.es\/premium?icid=es_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a><\/strong>\u00a0en todos los dispositivos: protege contra los troyanos y bloquea las p\u00e1ginas de phishing que se utilizan a menudo para distribuir archivos APK infectados.<\/li>\n<li>No desactives Google\u00a0Play\u00a0Protect y evita instalar APK de fuentes sospechosas: este es el vector de infecci\u00f3n principal que omite la tienda oficial de aplicaciones.<\/li>\n<li>En caso de duda, devuelve el dispositivo de streaming. No vale la pena arriesgar tus datos biom\u00e9tricos, bancarios o la reputaci\u00f3n de tu direcci\u00f3n IP con un dispositivo de streaming barato.<\/li>\n<\/ul>\n<blockquote><p>\u00bfQuieres saber de qu\u00e9 otra manera proteger los dispositivos de hogar inteligente? Obt\u00e9n m\u00e1s informaci\u00f3n en nuestras publicaciones relacionadas:<\/p>\n<p><a href=\"https:\/\/www.kaspersky.es\/blog\/smart-speaker-tv-smartphone-eavesdropping\/29554\/\" target=\"_blank\" rel=\"noopener\">\u00bfTe esp\u00edan tu televisor, tu smartphone y tus altavoces inteligentes?<\/a><\/p>\n<p><a href=\"https:\/\/www.kaspersky.es\/blog\/save-your-home-router-from-apt-residential-proxy\/31166\/\" target=\"_blank\" rel=\"noopener\">\u00bfTu router est\u00e1 trabajando en secreto para servicios de inteligencia extranjeros?<\/a><\/p>\n<p><a href=\"https:\/\/www.kaspersky.es\/blog\/vulnerability-in-smart-home-control-app\/30978\/\" target=\"_blank\" rel=\"noopener\">Un hogar no tan inteligente<\/a><\/p>\n<p><a href=\"https:\/\/www.kaspersky.es\/blog\/smart-home-zigbee-thread-matter-advice\/28484\/\" target=\"_blank\" rel=\"noopener\">La mejor estrategia para tu hogar inteligente<\/a><\/p>\n<p><a href=\"https:\/\/www.kaspersky.es\/blog\/how-to-secure-smart-home\/28543\/\" target=\"_blank\" rel=\"noopener\">C\u00f3mo proteger tu hogar inteligente<\/a><\/p><\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\">\n","protected":false},"excerpt":{"rendered":"<p>\u00bfEst\u00e1s seguro de que tu dispositivo de Android TV es seguro? Ahorrar en suscripciones de streaming podr\u00eda convertir tu dispositivo en parte de una red de bots, dejar tus direcciones IP a disposici\u00f3n de terceros y provocarte otros graves problemas.<\/p>\n","protected":false},"author":2775,"featured_media":32152,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[378,59,1327,555,3623,16,1829,592,3727,61,374,1660,586],"class_list":{"0":"post-32149","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-amenazas","9":"tag-android","10":"tag-botnets","11":"tag-ddos","12":"tag-falsificaciones","13":"tag-google","14":"tag-hogar-inteligente","15":"tag-internet-de-las-cosas","16":"tag-kaspersky-for-android","17":"tag-seguridad","18":"tag-smart-tv","19":"tag-triada","20":"tag-troyanos"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/android-tv-botnet\/32149\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/android-tv-botnet\/30731\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/android-tv-botnet\/25779\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/android-tv-botnet\/30578\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/android-tv-botnet\/41888\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/android-tv-botnet\/55799\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/android-tv-botnet\/30672\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/android-tv-botnet\/36237\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/android-tv-botnet\/36130\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32149","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2775"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=32149"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32149\/revisions"}],"predecessor-version":[{"id":32153,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32149\/revisions\/32153"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/32152"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=32149"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=32149"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=32149"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}