Pagas una sola vez y sufres años: los decodificadores Android con «acceso de por vida» a servicios de streaming resultaron ser una trampa
Los retrasos y la carga en la red son lo de menos.
Prometer ver servicios de pago sin suscripciones parece tentador, especialmente cuando los gastos en streaming aumentan cada mes. Pero tras las cajas de TV en Android anunciadas activamente como "SuperBox" puede esconderse no ahorro, sino acceso directo de atacantes a la red doméstica. En un reciente blog de Kaspersky los especialistas advirtieron que esos dispositivos pueden funcionar como nodos proxy, escanear aparatos cercanos y participar en ataques sin el conocimiento del propietario.
El problema se hizo más visible tras el aumento de la publicidad de cajas baratas en redes sociales y en marketplaces. Los blogueros muestran dispositivos como SuperBox como una forma sencilla de obtener miles de canales y plataformas de streaming sin pagos periódicos. Según los especialistas, parte de esos aparatos al encenderse se conecta con servicios externos, incluido el mensajero chino Tencent QQ y el servicio proxy Grass. En la práctica, el canal de Internet doméstico del propietario puede ser usado por terceros.
En el firmware de algunas cajas se encontraron herramientas que no necesita un reproductor multimedia habitual. Entre ellas había un escáner de red, un analizador de tráfico y medios para interceptar consultas DNS. Ese conjunto permite buscar otros dispositivos en la red local, suplantar conexiones y preparar la base para ataques DDoS. Llamaron la atención carpetas con el nombre secondstage, características de esquemas maliciosos de varias etapas.
SuperBox no es el primer caso en el que se integra funcionalidad maliciosa en una caja de TV. En 2025 Google presentó una demanda contra los operadores de BADBOX 2.0, una botnet de más de 10 millones de dispositivos Android, incluidas cajas de TV baratas, tabletas y proyectores sin certificación de Google Play Protect. QiAnXin XLab también reveló Kimwolf, una botnet DDoS de aproximadamente 1,8 millones de dispositivos Android. Entre los dispositivos infectados se encontraban modelos con los nombres TV BOX, SuperBox, XBOX y SmartTV.
En Kaspersky Lab relacionan esos ataques con la evolución del troyano Triada, descrito por primera vez en 2016. Con los años se convirtió en un backdoor modular que puede incorporarse directamente en el firmware en alguna etapa de la producción. El fabricante de una caja barata no siempre puede saber que se ha integrado un componente malicioso en el dispositivo.
El peligro principal para el propietario no es el aumento de carga en la red ni la pérdida de rendimiento. La caja, por lo general, se conecta al mismo Wi‑Fi que teléfonos, portátiles, cámaras, NAS, cerraduras inteligentes y otros dispositivos. Si los atacantes consiguen ese punto de apoyo dentro de la red doméstica, pueden buscar puertos abiertos, servicios vulnerables y archivos accesibles en la red local. Quedan en peligro los archivos familiares en el almacenamiento en red, documentos de trabajo en los ordenadores, grabaciones de cámaras y otros datos que el propietario no pensaba mostrar a terceros.
Además, la caja infectada puede interceptar tráfico no cifrado, suplantar consultas DNS y usar la dirección IP doméstica para fraudes o ataques. Tras esa actividad, servicios legítimos pueden empezar a bloquear al usuario por acciones sospechosas, aunque el propio propietario de la caja no haya hecho nada.
El riesgo es mayor en dispositivos de marcas desconocidas que prometen acceso de por vida a contenido de pago por un único pago, y que además requieren desactivar Google Play Protect o instalar APK de terceros. Es más seguro elegir cajas certificadas, situar los dispositivos del hogar inteligente en una red Wi‑Fi separada, actualizar el firmware regularmente y no instalar aplicaciones de fuentes dudosas.