Netflix, Apple TV+, Disney+, Hulu, Amazon Prime, YouTube Premium… hoy día, la familia “de ley” promedio paga entre cinco y diez suscripciones solo para ver sus programas favoritos. El entretenimiento le cuesta más de cien dólares al mes. Así las cosas, a nadie sorprende que las redes sociales y las tiendas en línea hayan visto una explosión en la demanda por esas “cajitas mágicas” que aparecieron a fines de 2025: dispositivos de streaming con Android que, por un solo pago, prometen dar acceso a miles de canales y a todos los servicios de streaming prémium que uno pueda querer.
TikTok e Instagram rebosan de anuncios sobre estos dispositivos. Las redes están llenas de influencers que, con una sonrisa indeleble, desembalan su nuevo superaparato, lo conectan al televisor y pasan de canal en canal sin cesar. Estas cajas son, sin ninguna duda, la solución al tedio de las mil suscripciones, ¿verdad? Pues no: en verdad, son un gran modo de darle a una botnet las llaves de tu red personal.
En TikTok, un video promocional explica lo genial que es que el queso sea gratis poder cancelar todas las suscripciones
¿Qué tienen de malo esas cajas baratas para la TV?
No es la primera vez que oímos hablar sobre dispositivos de streaming maliciosos. La diferencia es que hoy se los promociona a una escala que nunca se había visto.
A fines de 2025, se analizaron varios modelos de un dispositivo muy común, de marca SuperBox, que se vende tanto en grandes tiendas físicas como en mercados en línea. Lo que los analistas hallaron fue por demás preocupante: apenas se los encendía, estos dispositivos se comunicaban con los servidores de Tencent QQ (una aplicación de mensajería china) y con el servicio de proxy Grass para alquilar a desconocidos el ancho de banda de quien había comprado el aparato.
Al abrir el firmware, los investigadores encontraron aplicaciones que nada tenían que hacer en un reproductor multimedia, como un escáner de red, un analizador de tráfico y herramientas para el secuestro de servidores DNS. Estos dispositivos no solo transmitían contenido pirateado: también analizaban la red local para hallar otros objetivos, como interfaces industriales SCADA, y quedaban listos para participar en ataques DDoS. Los dispositivos SuperBox también contenían carpetas de nombre “secondstage” (“segunda etapa” en inglés), que son típicas del malware multietapa.
Más cerca del presente, en abril de 2026, el podcast Darknet Diaries incluyó una entrevista a un investigador de seguridad conocido como D3ada55, quien compartió muchos datos sorprendentes sobre estos dispositivos. Uno de ellos es que aún se los vende en grandes plataformas como Amazon, Walmart y Best Buy.
Las crónicas de la infección: de BADBOX a Keenadu
Los dispositivos SuperBox no son, de ningún modo, los únicos equipos con Android que han venido infectados de fábrica o que se han convertido en nodos de una botnet. Demos un vistazo a los casos más recientes:
- BADBOX 2.0. En julio de 2025, Google demandó a los operadores de una botnet que incluía más de diez millones de dispositivos Android, en su mayoría dispositivos de streaming, tablets y proyectores baratos que no tenían la certificación de Google Play Protect. Como ya informamos, BADBOX 2.0 se enfoca en dispositivos de streaming y funciona simultáneamente como red proxy y como motor de fraude publicitario.
- Kimwolf. En diciembre de 2025, el equipo de QiAnXin XLab descubrió una botnet para ataques DDoS que se había hecho con el control de casi dos millones de dispositivos Android. Entre el hardware infectado, había modelos genéricos de fabricantes desconocidos con nombres de alto perfil, como TV BOX, SuperBox, SmartTV y XBOX. Los dispositivos alcanzados se vendieron en todo el planeta, por lo que la infección tuvo un alcance enorme. Entre los países más afectados estaban Brasil, India, Estados Unidos, Argentina, Sudáfrica, Filipinas y México.
- Keenadu. Nuestros expertos descubrieron este malware oculto en el firmware de dispositivos recién salidos de fábrica. El hallazgo ocurrió en noviembre de 2025, pero no tuvo mayor difusión sino hasta febrero de 2026, cuando publicamos un estudio sobre el caso. Keenadu se hace pasar por componentes legítimos del sistema y se incrusta incluso en aplicaciones de desbloqueo por reconocimiento facial. Ello puede darles a los atacantes acceso a información biométrica, datos bancarios y mensajes personales.
Todas las historias que relatamos tienen un mismo origen: el troyano Triada, que nuestros investigadores documentaron por primera vez en 2016 y que, en ese momento, consideraron “uno de los troyanos para dispositivos móviles más avanzados”. En los últimos diez años, Triada ha dejado de ser una aplicación maliciosa estándar y se ha convertido en una puerta trasera modular que se incorpora directamente en el firmware de los dispositivos durante su fabricación.
Cómo funciona el esquema de infección
Quienes fabrican dispositivos de streaming baratos reducen costos en absolutamente todo: dejan de lado la certificación de Google Play Protect, las auditorías de firmware, las actualizaciones de seguridad. Muchos de sus dispositivos utilizan la versión de código abierto de Android (AOSP) y no ofrecen ninguna garantía de seguridad. En algún punto de la cadena de suministro ―en la fábrica, en las instalaciones de un intermediario o quizás en un centro de distribución―, se inyecta una puerta trasera en la imagen del firmware. Según nuestros expertos, los fabricantes pueden ni siquiera estar al tanto de esta situación.
Por la magnitud de la infección, estos millones de dispositivos idénticos son la base perfecta para crear una botnet: cada equipo infectado representa una dirección IP única, que se puede alquilar a quien la requiera. Los operadores de las botnets como Kimwolf sacan rédito de la situación no solo a través de los ataques DDoS, sino también revendiendo el ancho de banda de los televisores inteligentes y los dispositivos de streaming infectados.
Cuáles son las consecuencias para ti
Tienes un dispositivo infectado en tu sala de estar, conectado a tu tele y conectado a la red Wi-Fi de tu hogar. ¿Qué implica esto? Que el dispositivo puede ver tus smartphones con tus apps bancarias, tus cámaras IP, tus cerraduras inteligentes, las unidades de red NAS en las que guardas tus archivos familiares, las computadoras portátiles que te han dado en el trabajo y cualquier otro dispositivo que tengas conectado a la red Wi-Fi.
Instalado en esta posición estratégica dentro de tu red, un atacante puede interceptar el tráfico no cifrado, falsificar solicitudes de DNS, escanear puertos y buscar vulnerabilidades en dispositivos vecinos. Sumado a ello, puede usar tu dirección IP con fines fraudulentos. En el mejor de los casos, si esto sucede, tu IP terminará en una lista negra y los servicios lícitos la bloquearán por actividad sospechosa; en el peor de los casos, te encontrarás con la policía en la puerta de tu hogar.
Cómo detectar un dispositivo potencialmente peligroso
Desconfía si notas alguna de estas señales:
- la marca del dispositivo es desconocida (por ejemplo, T95, X96Q, MX10, TV BOX o SuperBox);
- el dispositivo promete que, si desembolsas una única suma, tendrás acceso gratis y de por vida a servicios prémium pagos;
- durante la configuración inicial, el dispositivo te pide que deshabilites Google Play Protect o que instales un APK de terceros;
- el dispositivo directamente no tiene la certificación de Play Protect;
- las redes sociales estás inundadas de anuncios sobre el dispositivo.
Cómo evitar alojar un nodo de botnet
- Compra dispositivos de streaming certificados que ofrezcan Google Play Protect o que provengan de empresas de telecomunicaciones o de Internet conocidas.
- Aísla los dispositivos inteligentes que tengas en casa. En el router, configura una red Wi-Fi separada para dispositivos de streaming, cámaras, parlantes inteligentes, aspiradoras robóticas y demás, y mantén tus teléfonos, unidades NAS y computadoras en la red principal. De este modo, impedirás que el malware pueda propagarse a tus equipos importantes.
- Actualiza regularmente el firmware de tus dispositivos. Esto incluye el firmware del router, que es otro eslabón débil en la cadena.
- Elimina todas las aplicaciones que no hayas elegido instalar en el dispositivo de streaming con Android; céntrate en las tiendas de aplicaciones alternativas, en los “mejoradores” de Wi-Fi y en los “limpiadores de sistema”.
- Presta atención al tráfico. Si tienes un router moderno o utilizas Kaspersky Premium, puedes ver adónde se ha conectado cada dispositivo. Si ves que tu reproductor multimedia se contacta regularmente con servidores chinos, piensa en tomar medidas.
- Instala Kaspersky Premium en todos tus dispositivos: te protegerá de los troyanos y bloqueará las páginas de phishing por las que se suelen distribuir archivos APK infectados.
- No deshabilites Google Play Protect y no instales APK de fuentes sospechosas: este es el principal vector de infección que elude la tienda de apps oficial.
- Si tienes alguna duda, devuelve el dispositivo. No vale la pena arriesgar tus datos biométricos, tu información bancaria o la reputación de tu dirección IP por un reproductor multimedia barato.
¿Quieres conocer otras medidas para proteger los dispositivos inteligentes de tu hogar? Lee estas publicaciones relacionadas:
¿Acaso el televisor, el teléfono y los altavoces inteligentes te escuchan a escondidas?
¿Tu enrutador trabaja en secreto para la inteligencia extranjera?