Los Smart TVs se han vuelto parte esencial de nuestro día a día, pero lo que muchos no saben es que también pueden ser un blanco perfecto para los ciberdelincuentes. El malware Vo1d ya ha infectado casi 1.6 millones de televisores Android en 226 países, convirtiéndolos en parte de una botnet masiva sin que sus dueños lo noten.
Una investigación de XLab ha estado rastreando esta nueva variante desde noviembre de 2024 y reporta que la botnet alcanzó su punto máximo el 14 de enero de 2025, con 800,000 bots activos en este momento. Antes de esto, en septiembre de 2024, investigadores de Dr. Web ya habían detectado 1.3 millones de dispositivos infectados, aunque en ese momento el método de propagación del malware seguía siendo un misterio.
Este no es solo un problema de rendimiento o de que el televisor se vuelva más lento. Tu Smart TV podría estar comprometiendo toda tu red doméstica, usándose como parte de redes de servidores proxy anónimos o incluso participando en ataques cibernéticos sin que te des cuenta. Suena preocupante, ¿verdad?
Según un informe reciente, la botnet Vo1d no solo sigue activa, sino que ha crecido aún más, sin que la exposición previa haya frenado su avance.
Los investigadores también señalan que esta nueva versión es más sofisticada, con un cifrado más avanzado (RSA + XXTEA personalizado), una infraestructura más resistente gracias a DGA y mejores técnicas de sigilo para evitar ser detectada. En otras palabras, es más difícil de rastrear y aún más peligrosa.
Tamaño de la botnet Vo1d a lo largo del tiempo (Fuente: XLab)
Vo1d no es cualquier botnet, es una de las más grandes que se han visto en los últimos años. Para ponerlo en perspectiva, ha superado a Bigpanzi, a la botnet original de Mirai e incluso a la que estuvo detrás del ataque DDoS récord de 5,6 Tbps que Cloudflare tuvo que contener el año pasado.
Su alcance es impresionante. Solo en febrero de 2025, casi el 25% de los dispositivos infectados estaban en Brasil, seguido de Sudáfrica (13,6%), Indonesia (10,5%), Argentina (5,3%), Tailandia (3,4%) y China (3,1%).
Pero lo más alarmante es la velocidad con la que se expande. En India, por ejemplo, pasó de 3.900 a 217.000 dispositivos infectados en solo tres días. Estas fluctuaciones sugieren que los operadores de la botnet podrían estar “alquilando” los dispositivos comprometidos para usarlos como servidores proxy en actividades ilegales. Y lo peor es que los dueños de estos Smart TVs ni siquiera se dan cuenta.
"Suponemos que el fenómeno de "rápidos aumentos seguidos de pronunciadas caídas" puede atribuirse a que Vo1d alquila su infraestructura de botnet en regiones específicas a otros grupos. Así es como podría funcionar este ciclo de "alquiler-retorno":
Fase de arrendamiento : Al comienzo de un contrato de arrendamiento, los bots se desvían de la red principal de Vo1d para prestar servicios a las operaciones del arrendatario. Esta desviación provoca una caída repentina en el recuento de infecciones de Vo1d, ya que los bots se eliminan temporalmente de su grupo activo.
Fase de retorno : Una vez que finaliza el período de arrendamiento, los bots se reincorporan a la red de Vo1d. Esta reintegración provoca un rápido aumento en el número de infecciones, ya que los bots vuelven a estar activos bajo el control de Vo1d.
Este mecanismo cíclico de “arrendamiento y devolución” podría explicar las fluctuaciones observadas en la escala de Vo1d en puntos temporales específicos”. Señala el informe de Xlab.
La infraestructura de control de Vo1d es enorme y está diseñada para ser difícil de derribar. Usa 32 semillas de algoritmos DGA, lo que le permite generar más de 21,000 dominios de comando y control (C2).
Además, toda la comunicación está protegida con una clave RSA de 2048 bits, lo que significa que, aunque los investigadores logren identificar y tomar el control de uno de estos dominios, no pueden enviar comandos a los bots para frenarlos. Básicamente, los atacantes se aseguraron de que esta botnet sea casi indestructible.
Países más afectados al 25 de febrero (Fuente: XLab)
Conoce más sobre: ¿Qué es una Botnet?: Red Zombie
Vo1d no es solo un malware cualquiera; es una herramienta de ciberdelincuencia multipropósito que convierte los dispositivos infectados en parte de una infraestructura criminal. Su función principal es usarlos como servidores proxy, lo que permite a los ciberdelincuentes ocultar su identidad y hacer que su tráfico parezca tráfico normal de hogares o empresas.
Esto les ayuda a evadir restricciones regionales, saltarse filtros de seguridad y realizar actividades ilegales sin levantar sospechas. Pero ahí no termina el problema.
Otra de las funciones clave de Vo1d es el fraude publicitario, en el que los dispositivos infectados generan clics falsos en anuncios y visualizaciones fraudulentas en videos para inflar ingresos publicitarios de manera artificial. Para hacerlo aún más efectivo, el malware usa complementos que simulan el comportamiento de navegación humana y un SDK llamado Mzmess, que distribuye estas tareas de fraude entre los bots de la red.
Lo peor de todo es que los expertos aún no saben con certeza cómo se propaga este malware. Hasta que se descubra el método exacto de infección, la mejor defensa es seguir buenas prácticas de seguridad para minimizar riesgos. Aquí algunos consejos clave:
Un portavoz de Google respondió a las investigaciones aclarando que los dispositivos infectados no eran Android TV con certificación Play Protect. Según la empresa, los dispositivos con esta certificación pasan pruebas de seguridad y compatibilidad, mientras que los modelos no certificados pueden ser más vulnerables a amenazas como Vo1d.