La red oculta que podría estar utilizando tu conexión de Internet
Una investigación internacional relaciona la botnet Popa con una infraestructura de proxys residenciales que habría aprovechado dispositivos Android TV para enrutar tráfico externo a través de hogares de todo el mundo.
📌 En resumen
- Investigadores vinculan la botnet Popa con una red masiva de proxys residenciales.
- Millones de Android TV Box habrían actuado como puntos de salida para tráfico de terceros.
- Más de 1,4 millones de direcciones IP aparecieron implicadas durante la investigación.
- NetNut niega operar actualmente la infraestructura señalada por los analistas.
La botnet Popa habría convertido dispositivos Android TV en nodos de una red de proxys residenciales, permitiendo que terceros utilizaran conexiones domésticas para acceder a servicios de Internet. Según varias investigaciones de ciberseguridad, los propietarios de estos equipos podrían no haber sido conscientes de que su dirección IP y parte de su ancho de banda estaban siendo utilizados por usuarios externos.
El hallazgo vuelve a poner el foco sobre los riesgos asociados a dispositivos Android TV de origen desconocido, especialmente aquellos que llegan al mercado con software modificado, aplicaciones preinstaladas o sistemas operativos alterados fuera de los canales oficiales.
Qué es la botnet Popa y por qué preocupa a los investigadores
A diferencia de las botnets tradicionales utilizadas para lanzar ataques masivos de denegación de servicio, Popa tendría un objetivo diferente. Su función principal consistiría en mantener conexiones persistentes con dispositivos comprometidos para utilizarlos como intermediarios en el tráfico de Internet.
En la práctica, un Android TV Box infectado podría actuar como puente entre un usuario externo y una página web o servicio online. Para el destino final, la conexión parecería originarse desde el hogar donde está instalado el dispositivo y no desde quien realmente genera la actividad.
Este enfoque convierte las conexiones residenciales en un recurso muy valioso para determinados servicios que buscan evitar sistemas de detección basados en centros de datos o redes corporativas.
Cómo funcionan las redes de proxys residenciales
Las redes de proxys residenciales utilizan direcciones IP pertenecientes a usuarios reales para enrutar tráfico de terceros. Esto permite que las conexiones aparenten proceder de hogares legítimos distribuidos por diferentes países y regiones.
La tecnología tiene aplicaciones completamente legales y ampliamente utilizadas en determinados sectores:
- Verificación de contenidos geolocalizados.
- Pruebas de servicios online en distintos países.
- Monitorización de precios en plataformas de comercio electrónico.
- Control de disponibilidad de sitios web y aplicaciones.
Sin embargo, el mismo sistema también puede emplearse para actividades más controvertidas, incluyendo automatización masiva de procesos, fraude publicitario, creación de cuentas falsas o recopilación intensiva de información.
Las Android TV Box económicas vuelven al centro del problema
Los investigadores relacionan Popa con la campaña de malware Vo1d, una amenaza que durante los últimos años ha afectado principalmente a dispositivos Android TV no certificados y comercializados bajo multitud de marcas diferentes.
Estos equipos suelen destacar por sus precios reducidos y por incluir acceso simplificado a servicios audiovisuales mediante aplicaciones modificadas o software personalizado por terceros.
Según los análisis publicados, algunos dispositivos podrían incorporar componentes capaces de integrar automáticamente la conexión doméstica en redes de proxys residenciales mientras permanecen conectados a Internet.
El usuario seguiría utilizando su TV Box con aparente normalidad mientras terceros aprovechan la dirección IP asociada a su vivienda.
Los riesgos que asumen los propietarios sin saberlo
El uso de una conexión doméstica como nodo proxy implica consecuencias que van mucho más allá del consumo de ancho de banda.
Los investigadores destacan varios riesgos potenciales:
- Exposición continuada de la dirección IP residencial.
- Posible asociación con actividades realizadas por terceros.
- Participación involuntaria en campañas automatizadas.
- Incremento del tráfico generado desde la conexión doméstica.
- Posibles intentos de interacción con otros dispositivos de la red local.
Si una actividad ilícita se realiza utilizando la conexión comprometida, la dirección IP visible para los sistemas afectados será la del usuario legítimo, complicando la identificación inicial del verdadero responsable.
Más de 1,4 millones de direcciones IP bajo análisis
La organización Qurium comenzó a investigar esta infraestructura después de detectar durante mayo de 2026 una campaña masiva de recopilación automatizada de datos dirigida contra sistemas alojados en su red.
Según sus conclusiones, la actividad procedía de más de 1,4 millones de direcciones IP diferentes, una magnitud compatible con las grandes redes de proxys residenciales distribuidas globalmente.
Durante el análisis también se identificaron varios dominios presuntamente vinculados a la infraestructura:
- gmslb.net
- safernetwork.io
- tera-home.com
- ninjatech.io
Asimismo, los investigadores detectaron referencias a estos sistemas en diversas aplicaciones modificadas utilizadas para consumir contenidos audiovisuales:
- CRICFy
- DooFlix
- Flixoid
- CyberFlix
- Rapid Streamz
- TvMob
La conexión con NetNut y la respuesta de la compañía
Parte de la controversia surge por la relación histórica entre la infraestructura investigada y Ninjatech, una empresa fundada por Moishi Kramer, actual vicepresidente de investigación y desarrollo de NetNut.
Según explicó Kramer, Ninjatech dejó de operar hace aproximadamente cinco años. Durante su actividad comercializó un kit de desarrollo denominado Popa que permitía compartir una pequeña porción del ancho de banda disponible bajo mecanismos de consentimiento del usuario.
El directivo sostiene que, tras la venta de esa tecnología a terceros, los desarrolladores originales dejaron de controlar cómo fue modificada o utilizada posteriormente por otros operadores.
NetNut rechaza gestionar la infraestructura señalada
Ante las conclusiones de los investigadores, NetNut ha negado cualquier implicación actual en la operación de la infraestructura asociada a Popa.
La empresa asegura que sus servicios incorporan procedimientos de verificación de clientes, sistemas de consentimiento explícito y medidas destinadas a evitar usos abusivos de las redes de proxys residenciales.
Por el momento no existe una atribución definitiva sobre quién controla actualmente la infraestructura analizada, aunque las investigaciones continúan abiertas.
El problema de los dispositivos Android TV sin certificación
Este caso vuelve a evidenciar los riesgos de adquirir dispositivos Android TV procedentes de fabricantes desconocidos o distribuidos fuera de los canales oficiales. Muchos de estos equipos reciben pocas actualizaciones de seguridad, utilizan versiones modificadas del sistema operativo y pueden incorporar software cuya procedencia resulta difícil de verificar.
La combinación de hardware económico, aplicaciones no oficiales y ausencia de controles de seguridad adecuados crea un entorno especialmente atractivo para operadores de malware y redes de proxys residenciales.
Mientras continúan las investigaciones sobre Popa, los expertos recomiendan revisar el origen de los dispositivos conectados al hogar, mantenerlos actualizados y evitar aplicaciones obtenidas fuera de repositorios de confianza. Lo que parece una simple TV Box para ver contenidos podría estar haciendo mucho más de lo que muestra en pantalla.
