Tu televisor inteligente podría estar ayudando a hackers a atacar sitios web

Tu televisor inteligente podría estar ayudando a hackers a atacar sitios web

BotnetPrivacidadSmart TVAnti-scrapingProxy residencial

Fuentes:LWN + Lobsters + Spur.us + web research

El 22 de junio de 2026, la empresa de ciberseguridad Spur publicó un informe de investigación. Escanearon un total de 6.038 aplicaciones de las dos grandes plataformas de smart TV, LG webOS y Samsung Tizen, con un resultado inquietante: 2.058 de esas aplicaciones tenían integrado un SDK de proxy residencial, más de un tercio del total. La plataforma de LG es la más grave: casi la mitad de las aplicaciones venden en segundo plano la dirección IP del hogar del usuario.

Estas aplicaciones aparentan ser salvapantallas de peceras, relojes, juegos de solitario o fondos de pantalla de cachorros. La imagen en la pantalla transmite plácida serenidad, pero el código de bajo nivel usa tu red para trabajar para otros.

Estadística de prevalencia de SDK de proxy por plataforma de smart TV: casi la mitad de las apps de LG webOS integran código de proxy ▲ Fuente de la imagen: informe de investigación de Spur.us. El eje horizontal representa la plataforma; el vertical, el número de aplicaciones; en rojo, las apps en las que se detectó un SDK de proxy.

Qué es un proxy residencial

Para entender esto, primero hay que entender un concepto. Cada dispositivo de internet tiene una dirección IP, y los sitios web determinan de dónde viene un visitante a partir de ella. Las IP de los servidores de los centros de datos tradicionales se identifican con facilidad: los proveedores tienen bases de datos con los rangos de IP y basta con verlas para saber «esto no es una persona real». Por eso quienes hacen scraping abandonaron hace tiempo la idea de usar sus propios servidores para extraer datos directamente.

Su nueva solución es: tomar prestada la salida de red de los hogares de gente común. Este servicio se llama «proxy residencial» (residential proxy). La IP de banda ancha de tu casa y la de tu vecino de al lado parecen idénticas: ambas son direcciones reales que el operador asigna a usuarios residenciales. Cuando un sitio web ve un visitante así, es casi incapaz de determinar si es una persona real o una máquina.

¿De dónde salen los proxies residenciales? De dos vías. La primera es puramente maliciosa: infectar el ordenador o el móvil del usuario con malware para controlar en secreto esos dispositivos como nodos proxy. A principios de este año, Google, junto con el FBI, desmanteló una botnet llamada IPIDEA, y después otra llamada NetNut. Jonathan Corbet, responsable del sitio LWN, mencionó en un artículo del 10 de julio que, tras el cierre de IPIDEA, los ataques de scraping que recibía el sitio bajaron notablemente durante uno o dos meses, y luego volvieron con fuerza.

La segunda es «a plena luz del día»: las empresas de proxy ofrecen un SDK (kit de desarrollo de software) para que los desarrolladores de aplicaciones incrusten un fragmento de código en sus productos. Cuando el usuario abre la app, aparece una casilla de consentimiento; al marcarla, la app puede invocar en segundo plano la conexión de red del usuario para reenviar tráfico externo. El desarrollador de la app cobra, la empresa de proxy obtiene el nodo y el usuario obtiene una app «gratis» o «sin anuncios». Bright Data es uno de los actores más visibles de este campo: incluso ofrece una VPN «gratuita» a condición de que el usuario acepte que su dispositivo también se convierta en un nodo de la red de proxy de Bright Data.

Por qué el televisor se convirtió en el anfitrión de proxy perfecto

Cuando un proxy corre en un móvil o un ordenador, el usuario tarde o temprano lo nota: la batería del móvil baja rápido, la factura de datos es anormal, el ventilador ruge. Pero el televisor es distinto. El informe de Spur tiene una descripción muy precisa:

Smart TVs are near-ideal proxy hosts. They sit on the same network as everything else in the home, but people don’t think of a TV as a “computer”, so they almost never inspect it the way they’d inspect a computer. There’s no battery drain to notice, no data bill to spike, no suspicious background activity in an app switcher. A TV can stay plugged in, logged in, and connected for years, while its owner only thinks of it as a piece of furniture.

Esta brecha de percepción determina el valor real del paso del consentimiento. Cuando el usuario instala una aplicación en el televisor con el mando a distancia, la casilla de consentimiento que aparece suele saltarse a toda prisa: manejar el mando ya cansa de por sí, ¿quién va a leer los términos palabra por palabra? Y lo más importante: el «consentimiento» de estos SDK suele requerirse una sola vez. Tocas aceptar y el servicio de proxy sigue funcionando en segundo plano de forma continua; aunque cierres la aplicación o cambies de canal, sigue trabajando.

El equipo de investigación de Spur capturó varias interfaces de consentimiento típicas. La de Pac-Man en la plataforma Samsung Tizen es la más «franca»: hace elegir al usuario directamente entre dos modos, ver anuncios para jugar, o aceptar el servicio de proxy de Bright Data y jugar sin anuncios. «Use your internet connection to index the web», dice textualmente. Una clásica bifurcación de la monetización: tu atención o tu IP, siempre hay que entregar una.

Interfaz de consentimiento de Pac-Man en Samsung Tizen: ver anuncios o convertirse en nodo proxy, a elegir ▲ Fuente de la imagen: informe de investigación de Spur.us. Pac-Man hace elegir al usuario entre «con anuncios» y «sin anuncios pero compartiendo la conexión de red».

Quién fabrica estas aplicaciones

La investigación de Spur reveló también un patrón más profundo. En muchos casos, la propia empresa de proxy es la editora de la aplicación. Bright Data y sus nombres asociados representan 367 aplicaciones marcadas como proxy en el conjunto de datos. Honeygain (filial de Oxylabs) aparece 16 veces como editora.

Esto significa que no pocas aplicaciones no son, desde el principio, «una app normal que resulta llevar integrado un SDK de proxy». Se parecen más a un «inventario de proxy de primera parte»: juegos casuales chapuceros, salvapantallas, cáscaras de utilidades, publicados en masa con el único fin de dar al SDK un entorno donde ejecutarse. La aplicación es el papel de envolver; la IP residencial es el producto.

Por qué las soluciones antiscraping están fallando

La existencia de las redes de proxy residencial deja directamente inservibles las protecciones antiscraping que despliegan los administradores de sitios.

Tomemos Anubis como ejemplo. Esta herramienta de código abierto filtra los rastreadores que no ejecutan JavaScript exigiendo al navegador que complete un problema de cálculo de «prueba de trabajo» (Proof of Work) antes de acceder al sitio. Desde 2025, muchos sitios desplegaron Anubis tras haber sido tumbados por ataques de scraping. El responsable de LWN mencionó que solo el sitio LWN sufrió recientemente el ataque de scraping más violento de su historia, y que, gracias a las protecciones desplegadas de antemano, la mayoría de los lectores ni siquiera lo notó.

Pero el problema es: ¿qué frena realmente Anubis, los rastreadores maliciosos de verdad o simplemente a los usuarios comunes que casualmente tienen JS desactivado? El desarrollador Farid Zakaria dio una respuesta desalentadora en su entrada de blog del 9 de julio: pidió a la IA que le ayudara a escribir una herramienta dedicada a saltarse Anubis, llamada anubis-fetch, y solo le llevó muy poco tiempo. Para el bando del scraping, resolver el problema de cálculo de Anubis es un coste único: una vez obtenida la cookie, se puede cachear y reutilizar. Para el usuario real, en cambio, cada vez que abre un sitio nuevo tiene que esperar unos segundos de rueda giratoria y cómputo de CPU, y además cada usuario espera lo suyo, sin poder «repartir» el coste.

El título del artículo de Zakaria es su propia conclusión: Who does Anubis actually stop? (¿A quién frena Anubis en realidad?). El objetivo que pretende frenar lo esquiva con facilidad, mientras que los damnificados son precisamente los usuarios reales que acceden a la web con móviles viejos, navegadores de texto o lectores de pantalla.

Y el proxy residencial hace este problema aún más irresoluble. Cuando el rastreador pasa por la IP del televisor de tu casa, el «visitante» que ve el sitio web no se distingue en nada del vecino de al lado abriendo el navegador para consultar una web. Si bloqueas esa IP, bloqueas todo el acceso a la red de un hogar real. El usuario splitbrain lo clavó en los comentarios de LWN: para frenar el scraping por proxy residencial bastaría con un botón y una cookie, sin necesidad de ninguna PoW compleja. Pero el problema es: ¿cómo sabes qué IP tiene detrás un televisor trabajando?

La postura dividida de las plataformas

Ante este panorama, la actitud de las distintas plataformas de televisión ya se ha dividido con claridad.

La plataforma Fire TV de Amazon prohíbe expresamente, en su política de abuso de dispositivos y sistema, que las aplicaciones ofrezcan servicios de proxy a terceros. Roku, según Lowpass (reproducido por The Verge), también ha prohibido a los desarrolladores usar el SDK de Bright y servicios de proxy similares, y, tras ser contactada por los medios, las aplicaciones afectadas desaparecieron de la plataforma.

Pero LG y Samsung todavía no han trazado una línea roja pública equivalente. Los datos de investigación de Spur indican que el modelo de negocio prohibido expresamente por Amazon y Roku sigue existiendo a gran escala en webOS y Tizen.

Al final de su artículo, Jonathan Corbet, de LWN, escribió unas palabras conmovedoras: la industria que hay detrás de estos ataques parece no importarle en absoluto reducir a escombros los sitios web independientes, con tal de conseguir los datos. Esa actitud no solo va contra los sitios web, sino que se extiende al planeta y a su economía. Habrá quien se oponga a esta forma de pensar y siga luchando. Quizá algún día el mundo decida imponer un mínimo umbral ético a las empresas de grandes modelos y a sus tecnologías asociadas. Pero hasta que llegue ese día, este comportamiento no cesará, y a nosotros no nos queda más remedio que defendernos.

No solo scraping

Hay otra dimensión que merece tomarse en serio: una vez que una aplicación obtiene permisos de proxy dentro de tu red doméstica, el riesgo no se limita a que «alguien tome prestada tu IP pública». Si el proveedor de proxy decide permitir que las peticiones accedan a direcciones privadas o locales —o si sus mecanismos de filtrado fallan—, ese televisor puede convertirse en el trampolín de un atacante hacia la red interna de tu casa: el panel de administración del router, el almacenamiento NAS, la impresora, las cámaras, la máquina de desarrollo y cualquier aplicación que escuche en un puerto local.

No es una hipótesis. En enero de 2026, KrebsOnSecurity informó de una botnet llamada Kimwolf que aprovechaba las redes de proxy residencial para penetrar en sentido inverso en la red local donde se encontraba el nodo proxy y propagarse desde ahí.

Mi valoración es: la esencia de esta lucha de ataque y defensa no está en la tecnología. El modelo de negocio del proxy residencial se sostiene porque externaliza la cuestión de «si el usuario da un consentimiento informado» al desarrollador de la aplicación, y el incentivo que recibe el desarrollador es el dinero, no la seguridad del usuario. Cuando la identidad por defecto de un televisor es «mueble» y no «ordenador conectado a la red», cuando un solo clic del mando basta para autorizar de forma permanente un proxy en segundo plano, toda la cadena de responsabilidad del sistema se rompe.

Enlaces de referencia:

  • LWN: An update on the scraper situation
  • fzakaria: Who does Anubis actually stop
  • Spur.us: Nearly Half of LG Smart TV Apps Contain Residential Proxy SDKs
  • Discusión en Lobsters (item?id=kpaxih)
  • Discusión en Lobsters (item?id=ktew3s)