10 millones de televisiones infectadas: tu salón puede ser cómplice de los hackers

10 millones de televisiones infectadas: tu salón puede ser cómplice de los hackers

IoTsecurityHogar InteligentePrivacidadSeguridad

Fuentes:Lobsters + web research · HN

El 2 de julio de 2026, el FBI (Buró Federal de Investigaciones de Estados Unidos) incautó varios cientos de dominios. Detrás de esos dominios había más de 2 millones de televisiones inteligentes y decodificadores de hogares corrientes. Les habían instalado software malicioso a escondidas y, sin que tú lo supieras, convirtieron tu red doméstica en un «punto de paso» para los criminales.

En junio de este año, la investigadora de seguridad Xe Iaso publicó en su blog una entrada breve titulada «You should probably check on your smart appliances» (deberías echarle un vistazo a tus electrodomésticos inteligentes). El texto citaba un conjunto de datos de honeypot del sistema anti-crawling Anubis: entre el tráfico de bots interceptado, el 89,3 % provenía de direcciones IP que no figuraban en ninguna lista de vigilancia de amenazas — más de 2,6 millones de IP independientes, todas direcciones de banda ancha doméstica corriente. Iaso sospecha que la mayor parte de ese tráfico sale de electrodomésticos secuestrados: televisiones, neveras, routers, incluso marcos de fotos digitales.

El post sumó 73 votos en la comunidad técnica Lobsters, pero los comentarios expusieron una verdad incómoda: el mundo de la seguridad sabe que estos dispositivos no son seguros; el problema es — ¿cómo comprobarlo? ¿cómo detectarlo? ¿cómo solucionarlo? Nadie tenía una respuesta universal.

Esquema de conexión de dispositivos de hogar inteligente Figura: Los dispositivos inteligentes del hogar moderno están conectados a internet, y cada uno puede ser una entrada de ataque. Fuente: red

No es ciencia ficción: tu televisor trabaja de verdad para otros

Si crees que «hackear electrodomésticos inteligentes» es un catastrofismo del mundillo técnico, échale un vistazo a estas cifras.

A finales de 2025, el equipo de seguridad de Google reveló una botnet llamada BadBox 2.0. Había infectado a más de 10 millones de dispositivos con sistema Android — televisiones inteligentes, decodificadores, tabletas, proyectores digitales. Lo más crítico: el software malicioso no lo descargaron los usuarios. Venía preinstalado de fábrica. Ese decodificador de marca blanca barato que compraste en una tienda o en una web, en cuanto abres la caja, ya es un nodo de la red criminal.

En 2026 apareció otra botnet, Popa. Esta vez «solo» 2 millones de dispositivos, pero su modelo de negocio era más completo: Popa empaquetó el tráfico de red de esos dispositivos secuestrados en una «red de proxies residenciales» llamada NetNut, y la vendió con precio fijo a quienes necesitaban ocultar su IP real — bandas de fraude publicitario, hackers de credential stuffing, rastreadores masivos de empresas de IA, e incluso operaciones de inteligencia a nivel estatal. El equipo de inteligencia de amenazas de Google observó en una semana 316 organizaciones criminales distintas usando los nodos de NetNut. Y la empresa operadora de NetNut, Alarum Technologies, cotiza en el Nasdaq y es israelí.

El FBI incautó los dominios de NetNut el 2 de julio. Pero incautar un dominio y desmantelar una botnet de 2 millones de nodos son cosas muy distintas.

Esquema de ataque de botnet IoT Figura: Las botnets IoT convierten los dispositivos de millones de hogares en herramientas de ataque. Fuente: informe de investigación de seguridad

¿Cómo «cae» tu televisor?

Cuando compras una televisión, rara vez la ves como un ordenador. Pero la realidad es que las televisiones inteligentes de hoy ejecutan un sistema operativo completo — Android TV, Tizen, webOS — y, como el portátil de tu mesa, tienen procesador, memoria, conexión de red y vulnerabilidades que se pueden atacar.

Una televisión inteligente corriente suele tener estas «puertas de entrada»:

  • Software malicioso preinstalado de fábrica (ese es el camino de BadBox 2.0): se implanta en la cadena de suministro, y el usuario ya está infectado al llegar a casa.
  • El «caballo de Troya» de la tienda de aplicaciones: una investigación de LG webOS encontró que más del 42 % de las apps integraban un SDK de proxy, capaz de convertir la tele del usuario en un nodo de tránsito de tráfico. La plataforma Tizen de Samsung está algo mejor, pero también más de una cuarta parte de las apps lleva el mismo SDK. Estos SDK se esconden en reproductores de vídeo, protectores de pantalla y herramientas del sistema; no abren ventanas, no piden permiso y funcionan en cuanto se instalan.
  • Apps de TV pirateadas: un punto que varios profesionales de la seguridad repitieron en la discusión de Lobsters. Mucha gente, para ver series gratis, instala en la tele apps de terceros de procedencia dudosa. Esas apps suelen llevar código malicioso, y el sistema de la tele no tiene ni la gestión de permisos de un móvil ni mecanismo de revisión de apps.
  • Puertos de depuración remota: algunas televisiones Android abren por defecto el puerto de depuración ADB (puerto 5555), y un atacante puede conectarse al dispositivo directamente por la red y tomar el control total. La botnet xlabs_v1, descubierta en mayo de 2026, escaneaba precisamente ese puerto para reclutar «zombis».

Juntando todo esto, se ve la cadena de ataque completa: los fabricantes de marca blanca recortan costes y venden lo «inteligente» como gancho, pero no invierten un céntimo en seguridad; los proveedores de SDK de terceros empaquetan la función de proxy como «tecnología publicitaria» y entran en las tiendas con cara legal; el usuario instala apps pirateadas por contenido gratuito; los criminales alquilan esos nodos y usan tu IP doméstica para sus propios fines.

Por qué tu conexión va más lenta — las consecuencias de estar secuestrado

Una televisión inteligente infectada normalmente no muestra anomalías que percibas directamente. No te avisa con una ventana de «estoy trabajando para otros». Pero a nivel invisible puede estar haciendo, a la vez, esto:

  • Actuar como nodo de ataque DDoS: tu tele, junto con miles de otros dispositivos, envía una avalancha de peticiones a un sitio web y lo deja fuera de servicio. Tu ancho de banda se satura, y tú solo notas «últimamente va lentísimo».
  • Hacer de proxy de tráfico cifrado: los criminales lanzan ataques, envían phishing o hacen credential stuffing desde tu IP doméstica — y cuando los investigadores rastrean la IP, acaban en tu casa.
  • Minar cripto: aunque la tele tiene poca capacidad de cálculo, juntando decenas de miles a la vez, el consumo de electricidad se reparte entre tantos hogares que la factura la pagas tú y el beneficio es para ellos.
  • Fraude publicitario: en segundo plano, tu dispositivo simula clics de usuario sobre anuncios y reproduce vídeos, ayudando a la economía sumergida a estafar a los anunciantes.
  • Escuchar: casi todas las televisiones inteligentes llevan micrófono integrado (para el control por voz). En 2015, Samsung admitió públicamente que su función de reconocimiento de voz enviaba conversaciones del entorno a un tercero para procesarlas. Si la tele está bajo el control de software malicioso, el micrófono se puede activar de forma remota.

Riesgos de seguridad de las televisiones inteligentes Figura: Las vulnerabilidades de dispositivos como las televisiones inteligentes pueden dejar tu privacidad al descubierto. Fuente: red

La pregunta que importa: ¿cómo sé si mi televisor tiene problema?

Este fue el comentario más votado de la discusión en Lobsters — y la propia autora, Iaso, respondió con sinceridad: no hay método universal.

¿Por qué? Porque la televisión inteligente es un sistema cerrado. No puedes instalarle un antivirus como al ordenador, ni ver su lista de procesos. El fabricante no te da ese permiso.

Alguien propuso monitorizar las peticiones DNS de la red doméstica — ver con qué dominios extraños habla tu tele. Pero eso no sirve contra software malicioso que usa DoH (DNS-over-HTTPS, es decir, consulta de dominios por un canal cifrado). Otros sugirieron revisar los registros de tráfico en el router, pero eso exige un router que permita flashear firmware y estar dispuesto a aprender a leer registros — un umbral demasiado alto para el usuario doméstico corriente.

El consenso de la comunidad de seguridad se reduce a estos puntos:

Primero, no instales apps de TV de procedencia dudosa. Sobre todo las que prometen «ver todo gratis» o «series sin suscripción» — no son proyectos benéficos; el precio que pagas puede ser tu red doméstica.

Segundo, no conectes la tele a internet. No es broma. Si usas un Apple TV externo, un Chromecast o una consola para ver contenido, la función de red de la tele inteligente se puede apagar por completo. Muchos que compraron lo «inteligente» solo usan la entrada HDMI en la práctica — no usas su parte «inteligente», pero asumes todo el riesgo de seguridad.

Tercero, si compraste un decodificador Android de marca blanca barato, ten cuidado extra. Esos dispositivos son el epicentro de BadBox 2.0 — infectados de fábrica, sin margen de maniobra para ti. Lo más seguro es no comprar marcas desconocidas.

Cuarto, el router puede poco, pero algo es mejor que nada. Si tu router soporta la función de «red de invitados», pon los electrodomésticos inteligentes en esa red aparte, aislados de tu móvil y tu ordenador. Así, aunque la tele tenga problemas, el atacante no podrá usarla para acceder a los datos de tus otros dispositivos.

Quinto, vigila los cambios en la factura y en la velocidad. Si ves que el indicador del router parpadea sin parar cuando nadie usa internet en casa, o si la factura de electricidad sube de forma claramente anómala, puede ser una señal — insuficiente para diagnosticar, pero merece la pena prestar atención.

La línea de combate: la tensión prolongada entre comodidad y seguridad

La raíz del problema de seguridad en los electrodomésticos inteligentes está en que los intereses no coinciden.

Para el fabricante, lo «inteligente» es una etiqueta que sube el precio. Una tele corriente cuesta 2000; con «IA y voz inteligente» se vende a 3500 — los 1500 de más cuestan quizá 50 en un chip y un sistema Android de código abierto gratis. ¿Actualizaciones de seguridad? El usuario no las ve, no afectan a las ventas; ¿para qué invertir?

Para el usuario, la comodidad es una necesidad real. Buscar por voz, ver el móvil en pantalla, controlar con apps — son funciones útiles. Pedir al usuario que renuncie a la comodidad por seguridad nunca ha sido una estrategia eficaz en el mercado de consumo.

Para el atacante, los electrodomésticos inteligentes son una «presa perfecta»: siempre en línea, con capacidad suficiente, usuarios que nunca revisan, fabricantes que nunca parchean. Una tele puede durar cinco o diez años, y su parche de seguridad del sistema puede dejar de llegar al segundo año.

La Ley de Resiliencia Cibernéutica (Cyber Resilience Act) de la Unión Europea exige que, desde finales de 2027, todos los dispositivos conectados que se vendan en la UE ofrezcan actualizaciones de seguridad, configuración segura por defecto y divulgación pública de vulnerabilidades. Es un paso en la buena dirección. Pero a nivel global, los proveedores de hardware barato todavía pueden colarse por los huecos regulatorios y verter hardware inseguro en mercados con poca vigilancia.

Aquí no voy a ofrecer una solución de «arreglo definitivo» — porque no existe. Lo que se puede hacer es que suficiente gente tome conciencia, y que «a lo mejor mi tele tiene un problema» deje de sonar a película de ciencia ficción. Al fin y al cabo, el primer paso de la seguridad siempre ha sido admitir que podemos no ser seguros.

Enlaces de referencia:

  • Xe Iaso: You should probably check on your smart appliances
  • Discusión en Lobsters (s/slrak5)
  • Blog oficial de Google: Taking legal action against BadBox 2.0 botnet
  • Hive Security: FBI Seizes NetNut — How a 2-Million-Device Proxy Botnet Hid Inside Smart TVs
  • Gblock: Your Smart TV Is Secretly Routing Hacker Traffic
  • SecurityWeek: Google Sues Operators of 10-Million-Device BadBox 2.0 Botnet