¿Tu televisor está "dormido" y no responde? Podría haber sido secuestrado por un nuevo virus
Compraron un dispositivo barato y descubrieron que tenía un hacker incorporado
Un decodificador de TV común puede convertirse en un espía dentro de la red doméstica e incluso «poner a dormir» el televisor por orden de un atacante. Especialistas de Nokia Deepfield describieron el nuevo botnet CECbot, que infecta dispositivos basados en Android TV y se diferencia notablemente de los programas maliciosos habituales de este tipo.
CECBot apareció en marzo de 2026 y se convirtió en la evolución del botnet Katana. Ambos proyectos utilizan la misma infraestructura y apuntan a los mismos dispositivos, pero la nueva versión fue reescrita por completo. En lugar de un código simple con cifrado primitivo, los atacantes incorporaron una aplicación Android completa con criptografía moderna, comparable a la usada por mensajeros seguros.
El programa malicioso se propaga a través de vulnerabilidades en Android Debug Bridge, abierto en muchos decodificadores de TV económicos. Los fabricantes de esos dispositivos a menudo instalan componentes dudosos para enrutar el tráfico, a través de los cuales los atacantes obtienen acceso a la red del usuario. Tras la infección, CECbot no intenta propagarse por sí mismo, pero comienza a explorar activamente la red local.
La característica principal de CECbot está relacionada con la tecnología HDMI-CEC. Mediante ella, los dispositivos conectados por HDMI pueden controlar unos a otros —por ejemplo, encender el televisor o cambiar el volumen. El programa malicioso aprendió a enviar ese tipo de comandos. El operador puede poner el televisor en modo de reposo, cambiar las entradas o incluso mostrar texto en la pantalla. En esencia, el decodificador infectado obtiene control total sobre la cadena HDMI.
Paralelamente, CECbot escanea la red doméstica. El programa verifica todos los dispositivos en la subred, recopila sus direcciones, detecta los servicios disponibles y envía los datos al servidor de control. El decodificador infectado se convierte en un punto de observación desde el cual se puede analizar toda la red, desde ordenadores hasta dispositivos inteligentes.
Al mismo tiempo, el usuario puede no notar nada durante mucho tiempo. El programa malicioso sustituye la interfaz del decodificador por una pantalla vacía y bloquea el control. Para ocultar el problema, el atacante puede simplemente «apagar» el televisor a través de HDMI. Desde fuera todo parece una falla habitual o un apagado.
CECBot también es capaz de lanzar potentes ataques en la red y de usar los dispositivos infectados como servidores proxy residenciales. Mediante ellos se puede dirigir tráfico ocultando la ubicación real. La arquitectura recuerda a los servicios comerciales de proxy residenciales, salvo que está construida sobre dispositivos comprometidos.
Los desarrolladores añadieron nueve mecanismos de persistencia en el sistema. El programa se reinicia mediante servicios del sistema, supervisa su estado e incluso bloquea los intentos de eliminación. En algunos dispositivos desactiva las actualizaciones del firmware, por lo que el decodificador deja de recibir correcciones de seguridad.
Cabe destacar asimismo el trabajo con Android. A diferencia de los botnets antiguos, que se ejecutaban como programas normales para Linux, CECbot aprovecha las funciones del propio sistema: el planificador de tareas, los servicios en segundo plano y las opciones de ahorro de energía. Ese enfoque hace que el programa malicioso sea más resistente.
Según los especialistas, este tipo de dispositivos hace tiempo que superó el ámbito doméstico. Se instalan en oficinas, hoteles e incluso centros médicos. En una vivienda el escaneo de la red resulta molesto pero limitado. En una red corporativa o hospitalaria esas capacidades ya representan una amenaza mucho más seria.
CECBot muestra lo rápido que evoluciona el software malicioso para dispositivos «inteligentes». Cada nueva generación se vuelve más compleja, más difícil de detectar y más funcional. En este caso, el decodificador deja de ser solo un reproductor multimedia y se transforma en una herramienta completa de vigilancia y ataque.