Compró un decodificador de TV por una miseria — y, de regalo, alguien usa su IP para eludir bloqueos, recopilar datos y hackear cuentas ajenas.
Ninjatech: la empresa ya desaparecida, pero su botnet sigue operando.
Un decodificador barato para televisor puede funcionar durante años no solo para su propietario, sino también para clientes ajenos que, de forma discreta, usan la conexión doméstica para mostrar publicidad, recopilar datos y acceder de manera sospechosa a cuentas. Varias empresas de ciberseguridad han afirmado que la gran red Popa, construida sobre dispositivos con Android, está vinculada a NetNut, un proveedor de proxies residenciales de Israel que pertenece a Alarum Technologies.
Popa opera desde hace unos cuatro años y se diferencia de los botnets habituales. La red no tanto ataca sitios con oleadas masivas, sino que convierte los dispositivos infectados en nodos persistentes para enrutar el tráfico de Internet de otros. El decodificador se registra en el sistema, mantiene una conexión cifrada y, a petición, abre un canal de comunicación a través de la dirección doméstica del propietario.
Especialistas vinculan a Popa con el botnet Vo1d, que se dirige a decodificadores no oficiales basados en Android. Estos dispositivos se venden bajo muchos nombres y a menudo prometen acceso a cientos de servicios de pago por una única tarifa. El FBI y empresas de ciberseguridad ya han advertido que, junto con esos decodificadores, los usuarios a menudo reciben programas que convierten el televisor en un proxy residencial. A través de ese nodo, terceros pueden salir a la red haciéndose pasar por un abonado normal.
Los primeros indicios de Popa fueron descritos anteriormente por la empresa china XLAB. En un nuevo informe Qurium afirmó haber encontrado decenas de dominios de control de Popa mientras investigaba una recolección masiva de datos contra clientes de su servicio de hosting en mayo de 2026. La actividad se distribuía entre más de 1,4 millones de direcciones IP. Entre los dominios figuraban gmslb[.]net, safernetwork[.]io, tera-home[.]com y ninjatech[.]io. Uno de ellos aparecía en aplicaciones modificadas para ver vídeos pirata, incluidas CRICFy, DooFlix, RTS Tv, CyberFlix y otras.
Qurium afirma que parte de los dominios de control de Popa desaparecieron en el verano de 2025 tras una operación conjunta de Google, HUMAN Security y Trend Micro contra Badbox 2.0, vinculado a Vo1d. Tras eso surgieron nuevos dominios; sin embargo, ninjatech[.]io, según la empresa, mantuvo conexión con la infraestructura anterior. El dominio se vincula a Ninjatech, la empresa de Moishik Kramer, quien en su perfil de LinkedIn figura como vicepresidente de investigación y desarrollo de NetNut.
Kramer, en un correo electrónico, declaró que Ninjatech dejó de operar hace unos cinco años, y que el conjunto de herramientas desarrollado por la empresa, Popa, fue vendido y licenciado a organizaciones externas. Según él, el software debía emplear solo una pequeña parte del ancho de banda del dispositivo y ejecutarse únicamente tras el consentimiento del usuario. Kramer también afirmó que ni él ni NetNut gestionan la infraestructura de Popa ni controlan el dominio Ninjatech.
La empresa Synthient, en un informe aparte, llegó a una conclusión distinta. Según sus datos, un análisis reciente de Popa mostró tráfico saliente relacionado con NetNut. Los expertos de Synthient consideran que los dispositivos con Popa transmiten el tráfico de los clientes de NetNut y, por tanto, continúan formando parte del conjunto de proxies del servicio.
Alarum Technologies rechazó las conclusiones de Synthient y Qurium, calificándolas de inexactas y basadas en suposiciones erróneas. La empresa declaró que los componentes de software en cuestión están diseñados para compartir la capacidad de conexión y no convierten los dispositivos de los usuarios en una red maliciosa. Alarum también afirma que NetNut verifica a sus clientes, supervisa los abusos y aplica medidas para el uso responsable del servicio.
La postura la disputa el servicio Spur, que rastrea redes de proxies. En un informe del 8 de junio la empresa afirmó que NetNut no exige una verificación completa de las empresas antes de la compra de acceso. Según Spur, un usuario puede registrarse, pagar y empezar a enrutar tráfico a través de direcciones asociadas, y algunos intermediarios venden acceso aún más fácilmente —incluso aceptando pago en criptomoneda desde cuentas de correo de un solo uso.
La escala de Popa hace la historia especialmente inquietante. Según la evaluación de Black Lotus Labs, la red moviliza diariamente entre 1,5 millones y 2,5 millones de direcciones IP únicas, y su operación está gestionada por aproximadamente 250–300 direcciones. Nokia Deepfield valora un posible alcance aún mayor. La empresa rastreó 26 de al menos 359 nodos de retransmisión conocidos y, en un día, observó alrededor de 750 000 fuentes únicas solo en esa parte de la red.
La demanda de este tipo de proxies crece no solo por actividades fraudulentas. Grandes proveedores cada vez promocionan más sus redes como infraestructuras que permiten entrenar inteligencia artificial. Los servicios que recopilan masivamente textos, imágenes y vídeos de sitios intentan eludir las restricciones usando direcciones residenciales de usuarios comunes en lugar de direcciones de centros de datos en la nube. Para un sitio, esa petición parece provenir de un abonado real y no de un sistema de recolección automatizada.
Bibliotecas, universidades, organizaciones sin ánimo de lucro y sitios pequeños son víctimas de la recolección agresiva de datos. Tienen que lidiar con flujos de peticiones que ralentizan los servicios o los dejan fuera de servicio para los visitantes habituales. Según una encuesta de la Confederación de Repositorios de Acceso Abierto (COAR), más del 90% de los participantes se han enfrentado a bots agresivos, a menudo más de una vez por semana.
El problema no se limita a decodificadores anónimos. Spur revisó las tiendas de aplicaciones para televisores LG y Samsung y encontró componentes de proxy en más del 42% de las aplicaciones para webOS y en más de una cuarta parte de las aplicaciones para Tizen. A menudo esos programas parecen simples juegos o utilidades, y el consentimiento para usar la conexión doméstica se oculta en largos términos que resultan incómodos de leer con el mando.
Infoblox advierte que componentes similares también aparecen en aplicaciones móviles comunes, incluidas las VPN gratuitas, aplicaciones para ver vídeo, salvapantallas y programas para manejar PDF. En redes corporativas, esos proxies crean un riesgo adicional. Si un atacante ataca a una tercera parte a través de la dirección de una empresa, la investigación inicialmente apuntará a la red de esa organización, incluso si solo fue un nodo intermedio.