El FBI ha lanzado una nueva advertencia sobre el malware BadBox 2.0, que ya ha infectado millones de dispositivos conectados a Internet en todo el mundo.
Aunque BadBox no es una amenaza reciente, su evolución y el descubrimiento de su presencia en aún más dispositivos han generado preocupación. Esta botnet afecta a productos electrónicos de consumo como televisores inteligentes, proyectores, tablets y dispositivos IoT de bajo costo, la mayoría fabricados en China y con sistema Android.
Lo más inquietante es que muchos de estos equipos vienen infectados de fábrica o se contaminan después, al instalar apps maliciosas o actualizaciones de firmware. Una vez infectados, estos dispositivos se convierten en nodos de una red de proxies residenciales, usados por ciberdelincuentes para ocultar su identidad y llevar a cabo actividades ilegales.
“La botnet BadBox 2.0 incluye millones de dispositivos comprometidos y múltiples puertas traseras que permiten a los atacantes vender o usar el acceso a redes domésticas ajenas”, señala el FBI.
¿Cómo lo hacen? Muy fácil: compras un dispositivo económico, lo enciendes, descargas unas apps, y sin saberlo, el aparato ya está conectado a los servidores de comando y control de los atacantes, que le indican qué hacer. Desde ahí, tu red puede ser usada para enviar spam, lanzar ataques o incluso espiarte.
El FBI insiste en que el riesgo está en que estos dispositivos, una vez dentro de tu red WiFi, pueden actuar como “caballos de Troya” silenciosos. BadBox 2.0 no solo se cuela en tu dispositivo, también lo pone a trabajar sin que te des cuenta. ¿Cómo? Por ejemplo:
Redes proxy invisibles: Redirige el tráfico de otros delincuentes a través de tu conexión a internet, haciendo que parezca que la actividad maliciosa viene desde tu casa.
Fraude publicitario: Abre y hace clic en anuncios sin que lo notes, generando ingresos para los atacantes con tu ancho de banda.
Relleno de contraseñas: Aprovecha tu dirección IP para intentar entrar en cuentas de otras personas usando contraseñas robadas. Así se salta algunos sistemas de seguridad que bloquean intentos desde IPs sospechosas.
Todo comenzó en 2023, cuando se detectó por primera vez en ciertos dispositivos baratos con Android TV que venían ya infectados de fábrica. Con el tiempo, la red de dispositivos comprometidos fue creciendo hasta que, en 2024, autoridades en Alemania lograron interrumpir parte de la operación bloqueando la comunicación entre los aparatos y los servidores de los atacantes.
Pero eso fue solo un respiro temporal. Apenas una semana después, investigadores encontraron el malware activo en casi 200,000 dispositivos más. Y esta vez no solo eran marcas desconocidas: también aparecía en modelos de televisores Yandex y teléfonos Hisense, mucho más populares.
Lejos de desaparecer, BadBox evolucionó y volvió más fuerte. A esta nueva etapa se la conoce como BadBox 2.0, y para marzo de 2025 ya se había colado en más de un millón de dispositivos alrededor del mundo. ¿Cuáles? Tablets baratas, decodificadores de TV, proyectores digitales, y muchos otros aparatos de marcas genéricas sin certificación, la mayoría fabricados en China.
Es importante aclarar que estos no son dispositivos con Android certificado por Google (como los que tienen Play Protect), sino versiones del sistema Android de código abierto, más vulnerables y fáciles de modificar.
Según los análisis, esta red de dispositivos comprometidos se ha detectado en 222 países y territorios, pero los más afectados son:
Brasil: 37.6% de los casos
Estados Unidos: 18.2%
México: 6.3%
Argentina: 5.3%
Esto demuestra que el problema es global, y que cualquiera podría ser parte de esta red sin saberlo.
Distribución global de BADBOX 2.0 (Fuente: Human Satori)
En una operación conjunta entre el equipo de ciberseguridad de Satori, Google, Trend Micro, Shadowserver y otros especialistas, se logró bloquear la comunicación entre más de 500,000 dispositivos infectados y los servidores de los atacantes. Fue un gran avance para frenar el crecimiento de BadBox 2.0, pero esto está lejos de terminarse.
A pesar del esfuerzo, el problema sigue creciendo. ¿La razón? Muchas personas siguen comprando dispositivos que ya vienen infectados de fábrica, los conectan a su red WiFi… ¡y listo! La botnet sigue sumando equipos sin que nadie se dé cuenta.
| 📱 Model 1 | 📱 Model 2 | 📱 Model 3 | 📱 Model 4 |
|---|---|---|---|
| TV98 | X96Q_Max_P | Q96L2 | X96Q2 |
| X96mini | S168 | ums512_1h10_Natv | X96_S400 |
| X96mini_RP | TX3mini | HY-001 | MX10PRO |
| X96mini_Plus1 | LongTV_GN7501E | Xtv77 | NETBOX_B68 |
| X96Q_PR01 | AV-M9 | ADT-3 | OCBN |
| X96MATE_PLUS | KM1 | X96Q_PRO | Projector_T6P |
| X96QPRO-TM | sp7731e_1h10_native | M8SPROW | TV008 |
| X96Mini_5G | Q96MAX | Orbsmart_TR43 | Z6 |
| TVBOX | Elegant | KM9PRO | A15 |
| Transvelocity | KM7 | iSinbox | I96 |
| Smart TV | Fujicom-SmartTV | MXQ9PRO | MBOX |
| X96Q | isinbox | Mbox | R11 |
| Game box | KM6 | X96Max_Plus2 | TV007 |
| Q9 Stick | SP7731E | H6 | X88 |
| X98K | TXCZ |
Podría interesarte leer: Malware Crocodrilus Crea Contactos Falsos para Engañar por Teléfono
Hay varias señales que pueden ayudarte a darte cuenta si algo anda mal:
Te aparecen aplicaciones raras que nunca descargaste.
El equipo viene con Google Play Protect desactivado o directamente no está certificado.
Lo promocionaron como “desbloqueado” o como si te diera acceso gratis a servicios de paga.
Tu red de internet se comporta extraño, como si siempre estuviera mandando o recibiendo datos.
La marca del dispositivo suena genérica o no la conoces para nada.
Te recomendamos seguir algunos pasos simples pero muy efectivos para mantener segura tu red en casa:
Revisa todos los aparatos conectados a tu red WiFi. Si ves alguno sospechoso o que no reconoces, investígalo bien.
No instales apps desde tiendas no oficiales. Si una aplicación promete contenido gratuito que normalmente es de paga, probablemente algo anda mal.
Monitorea el tráfico de internet en tu casa. Hay routers o apps que te pueden ayudar a ver si un dispositivo está enviando datos sin motivo.
Mantén todos tus equipos actualizados. Aunque a veces da flojera, las actualizaciones corrigen errores de seguridad.
Si sospechas que un equipo está infectado, desconéctalo de internet. Así interrumpes el funcionamiento del malware y evitas que se comunique con los atacantes.
En pocas palabras: si vas a comprar una TV box, tableta o cualquier otro dispositivo Android económico, asegúrate de que sea de una marca confiable y que tenga certificación de Google. Porque sí, lo barato puede salir muy caro cuando se trata de seguridad digital.