Tu televisor inteligente es más listo de lo que creías. Desde hace tres meses está ayudando a alguien a hackear cuentas ajenas.
53 millones de cómplices sin saberlo
Millones de dispositivos domésticos en todo el mundo, sin que sus propietarios lo sepan, ayudan a los ciberdelincuentes a ocultar ataques, evadir las defensas de las empresas y vulnerar cuentas ajenas. Los especialistas de BitSight descubrieron que una parte significativa del mercado de los llamados proxies residenciales está directamente vinculada con programas maliciosos y botnets.
Los proxies residenciales permiten dirigir el tráfico a través de ordenadores domésticos, teléfonos inteligentes, televisores y enrutadores comunes. Para los sitios y los sistemas de defensa ese tráfico parece acciones de usuarios reales de distintos países. Gracias a estos servicios, los atacantes eluden restricciones geográficas, ocultan las direcciones reales y evitan bloqueos.
Los autores del estudio observaron la infraestructura de los servicios de proxy durante 55 días, de enero a marzo de 2026. Durante ese periodo identificaron más de 53 millones de nodos únicos por los que pasó tráfico. En días concretos, las plataformas más grandes ofrecieron más de dos millones de direcciones activas simultáneamente.
La comprobación mostró un panorama alarmante. Alrededor del 15% de todas las direcciones detectadas se usaban simultáneamente en dispositivos infectados que ejecutaban programas maliciosos. Casi un 13% adicional de los sistemas contenía software potencialmente peligroso. Entre las familias de malware detectadas estaban Vo1d, Badbox, RootSTV/Pandoraspear, Gamarue y otras.
Los especialistas creen que las dimensiones reales de la infección pueden ser mucho mayores. La vigilancia se realizó solo sobre los dispositivos que, en el momento del estudio, se conectaban a servidores controlados. Los sistemas infectados en reposo y los dispositivos con tráfico bloqueado no se incluyeron en las estadísticas. En algunas redes, la proporción de nodos infectados, según los autores, puede alcanzar el 50%.
Los especialistas prestaron especial atención al ecosistema IPIDEA. La red agrupaba varias marcas conocidas de servicios proxy, entre ellas 922Proxy, LunaProxy e IP2World. La infraestructura utilizaba activamente dispositivos infectados por los malware Vo1d, Badbox y RootSTV/Pandoraspear. A finales de enero de 2026, Google junto con socios llevó a cabo una operación a gran escala contra IPIDEA; sin embargo, el mercado se recuperó rápidamente. Ya pasadas unas semanas, la actividad de la red volvió casi a los niveles anteriores.
Los autores del estudio señalan que los métodos tradicionales de defensa van perdiendo eficacia. Antes las empresas podían bloquear direcciones sospechosas por reputación, pero con el cambio constante de millones de direcciones IP domésticas ese enfoque deja de funcionar. Los atacantes usan una dirección apenas unos minutos o incluso para un solo intento de acceso, tras lo cual cambian a otro nodo.
El problema afecta no solo a las víctimas de los ataques. Si el ordenador infectado de un empleado empieza a funcionar como nodo proxy, la empresa se convierte en una fuente de tráfico malicioso. Quedan en riesgo las redes corporativas, las conexiones remotas y la reputación de la organización.
Los autores aconsejan a las empresas prestar más atención al análisis del comportamiento del tráfico y no solo a la comprobación de las direcciones IP. En su opinión, las defensas deben rastrear la naturaleza de las acciones sospechosas, los cambios rápidos de direcciones y la actividad atípica relacionada con intentos de acceso, envío de spam y ataques automatizados.