Ataques DDoS, robo de contraseñas y riesgos para el hogar inteligente: cómo una caja de TV barata convierte tu conexión en herramienta de los hackers

Compras un dispositivo Android TV económico, lo conectas al televisor y lo olvidas durante años. Mientras tanto, puede convertir silenciosamente tu internet doméstico en una herramienta para ciberataques y servicios grises en línea. Según los datos de los investigadores, así fue como se expandió la nueva botnet Kimwolf, que infectó más de dos millones de dispositivos al comprometer masivamente una gran cantidad de cajas Android TV no oficiales.

En diciembre de 2025 la empresa XLab publicó un análisis detallado de Kimwolf. Según ellos, las cajas infectadas se usan al menos para dos fines: para participar en ataques DDoS y como nodos de los llamados proxies residenciales. Es un negocio que vende a clientes acceso al tráfico de internet que parece proceder de dispositivos domésticos reales. Ese tráfico se compra con frecuencia para inflar cifras de publicidad, realizar intentos masivos de adivinar contraseñas, capturar cuentas y recopilar datos a gran escala de sitios web.

Lo característico de Kimwolf es que está dirigido no a los teléfonos inteligentes comunes, sino a la propia infraestructura de las cajas Android TV baratas. El informe señala que el componente malicioso está relacionado con un software de proxy que viene preinstalado en fábrica en más de mil modelos de dispositivos Android TV "no autorizados". Tras la infección, las direcciones IP empiezan a generar tráfico sospechoso casi de inmediato, y los propietarios de las cajas por lo general no notan nada.

XLab también afirma que Kimwolf está estrechamente ligado a la botnet Aisuru. Los investigadores encontraron pruebas concluyentes de que ambos usaron a los mismos atacantes e infraestructura. En particular, el 8 de diciembre de 2025 observaron que ambas variantes de la botnet se propagaban desde la misma dirección IP 93.95.112.59, lo que confirmó sus sospechas sobre un autor o grupo único.

A partir de ahí viene lo más interesante. Según datos públicos, el rango de direcciones señalado por XLab está asignado a la empresa Resi Rack LLC de Lehi, Utah. En su sitio Resi Rack se presenta como un alojamiento para servidores de juego, pero mensajes publicitarios en el foro BlackHatWorld la describen de otro modo: como una compañía vinculada al "hosting premium para proxies residenciales" y al desarrollo de software de proxy. El cofundador de Resi Rack, Cassidy Hales, dijo a KrebsOnSecurity que el 10 de diciembre recibió una notificación de que Kimwolf estaba usando su red y afirmó que resolvieron el problema "inmediatamente después del correo". Sin embargo, más tarde los propietarios no respondieron a preguntas adicionales.

Unas semanas antes de la publicación de XLab, otros investigadores también se acercaron a esta historia. En Synthient contaron que los vendedores de proxies que supuestamente se beneficiaban de Aisuru y Kimwolf se comunicaban activamente en el servidor de Discord resi.to. Cuando los periodistas de KrebsOnSecurity entraron allí a finales de octubre de 2025, había menos de 150 participantes; entre ellos estaba un usuario llamado Shox, que en el chat era uno de los cofundadores de Resi Rack, y su socio Linus. Los participantes del servidor publicaban periódicamente nuevas direcciones IP a través de las cuales circulaba el tráfico proxy procedente de las cajas infectadas, y Synthient contó al menos siete direcciones estáticas de Resi Rack vinculadas a la infraestructura de Kimwolf en el periodo de octubre a diciembre de 2025.

En las conversaciones también salían otros nombres. El propietario del servidor de Discord figuraba como un usuario con un apodo reducido a la letra D, que según los investigadores podría aludir al seudónimo hacker Dort. Otro nombre recurrente en esta historia es Snow. Un brasileño apodado Forky, que reconoció haber participado en la promoción de Aisuru en una etapa temprana, afirma que Dort y Snow controlan ahora Aisuru y Kimwolf, aunque él niega haber participado en los ataques DDoS récord de la segunda mitad de 2025 y dice que para entonces la botnet ya la habían "capturado competidores".

Justo después de la publicación del primer artículo sobre Kimwolf, el 2 de enero de 2026, la correspondencia en resi.to desapareció de forma abrupta y el servidor de Discord fue eliminado poco después. Parte de los participantes activos se mudó a Telegram, donde, según periodistas, publicaron datos personales de Brandaj y discutieron lo difícil que es encontrar un alojamiento "a prueba de balas" para la botnet. Ese mismo día el sitio de Synthient sufrió un ataque DDoS, y los operadores de Kimwolf conectaron otro canal inusual para presionar.

Se trata del Ethereum Name Service, o ENS. Según XLab, a mediados de diciembre los operadores de Kimwolf actualizaron su infraestructura y empezaron a usar entradas ENS para dificultar la desconexión de los servidores de control. Funciona así: las cajas infectadas obtienen la dirección del servidor de mando no directamente, sino a través de un registro de texto en ENS. Si un servidor se bloquea o desconecta, a los atacantes les basta con actualizar la entrada y los dispositivos conocen inmediatamente la nueva dirección. En esas mismas entradas ENS aparecían mensajes breves, incluida la publicación de información personal de un investigador. Entre los "consejos" también se recomendaba, por ejemplo, que si un dispositivo "salía a la luz" lo destruyeran.

Una línea de investigación aparte trata de servicios que podrían haber ganado dinero con el tráfico de Kimwolf. Según Synthient y XLab, la botnet instalaba en las cajas infectadas componentes de varios proveedores de proxies residenciales. Uno de ellos está vinculado al SDK ByteConnect, distribuido por la empresa Plainproxies. En las descripciones comerciales ByteConnect habla de "monetización ética de aplicaciones", y Plainproxies promete piscinas de proxies "ilimitadas" para empresas dedicadas a la recopilación de datos. Sin embargo, los investigadores de Synthient afirman que al integrar el SDK observaron un aumento de ataques de relleno de credenciales, es decir, intentos masivos de adivinar nombres de usuario y contraseñas dirigidos a servidores de correo y sitios populares.

Según datos públicos, el CEO de Plainproxies figura como Friedrich Kraft, quien también aparece como cofundador de ByteConnect Ltd y está vinculado a la empresa de hosting alemana 3XK Tech GmbH. En julio de 2025 Cloudflare informó de que 3XK Tech se había convertido en la mayor fuente de ataques DDoS a nivel de aplicación, y en noviembre de 2025 GreyNoise escribió que las direcciones de esa compañía aportaban una proporción significativa del escaneo de internet en busca de una vulnerabilidad crítica en productos de Palo Alto Networks.

Otro servicio que los investigadores relacionan con la venta de proxies basados en Kimwolf es Maskify. Se anuncia en foros criminales y afirma disponer de millones de direcciones "domésticas" en alquiler, con precios sospechosamente bajos según los estándares del mercado. Synthient dice que recibió capturas de pantalla donde participantes vinculados a Kimwolf intentaban vender rápidamente ancho de banda de proxies a cambio de pagos por adelantado en efectivo, y subraya que los revendedores saben perfectamente que esos proxies no pueden obtenerse de forma "ética".

Tanto XLab como Synthient coinciden en algo: un número enorme de modelos de esas cajas Android TV no tiene protección adecuada, y algunos se suministran ya con componentes proxy maliciosos. En muchos casos, si el dispositivo es accesible desde la red, puede ser controlado por completo. Por ello, si en casa tienes una caja Android TV sin marca y sospechosamente barata que no recibe actualizaciones, es mejor desconectarla de la red y no arriesgarse.