BadBox 2.0: todo sobre la mayor campaña de malware en Android e IoT

La seguridad de nuestros dispositivos domésticos nunca había estado tan en entredicho como ahora mismo. Un nuevo y sofisticado malware, bautizado como BadBox 2.0, ha puesto en alerta a millones de usuarios de Android que, quizá sin saberlo, podrían estar colaborando involuntariamente con redes internacionales de ciberdelincuencia. Este fenómeno ha alcanzado tales dimensiones que incluso el FBI y organizaciones líderes en ciberseguridad han emitido advertencias públicas para tratar de frenar su propagación.

En este artículo te vamos a contar todo lo que necesitas saber sobre BadBox 2.0: cómo funciona, qué dispositivos son los más vulnerables, cómo reconocer si uno de tus equipos está infectado y, sobre todo, cómo puedes protegerte eficazmente. Recopilamos y analizamos la información publicada por los principales medios tecnológicos, entidades de seguridad y organismos oficiales para ofrecerte una visión completa, detallada, pero amena y directa de la amenaza que supone este nuevo malware para los hogares conectados.

¿Qué es BadBox 2.0 y por qué ha puesto en jaque la seguridad de Android?

BadBox 2.0 es una evolución peligrosa de campañas anteriores de malware orientadas al ecosistema Android y especialmente a los dispositivos del Internet de las Cosas (IoT). Lejos de ser un simple virus pasajero, se trata de una campaña global que ha conseguido comprometer más de un millón de equipos en todo el mundo, y la cifra sigue en aumento. La principal característica que hace a BadBox 2.0 tan problemático es su capacidad para transformar dispositivos ordinarios en nodos de una red proxy criminal (una ‘botnet’) sin que el dueño perciba nada fuera de lo normal.

¿Cómo consigue infectar tantos dispositivos?

El modus operandi de BadBox 2.0 es doble y sumamente insidioso. Por un lado, muchas de las infecciones acontecen antes de que el consumidor siquiera tenga el producto en casa. Es decir, el malware viene preinstalado de fábrica, aprovechando brechas en la cadena de suministro de fabricantes poco escrupulosos o mal protegidos. Así, cualquier persona puede comprar un dispositivo aparentemente nuevo, encenderlo y, con solo conectarlo a internet, formar parte de una botnet sin saberlo.

El segundo gran vector de ataque ocurre durante la primera configuración del equipo. En muchos casos, el propio dispositivo o aplicaciones iniciales sugieren (o incluso fuerzan) la instalación de apps de fuentes no oficiales o poco fiables. Estas aplicaciones pueden contener puertas traseras (‘backdoors’) que facilitan la entrada del malware. Una vez infectado, el aparato comienza a recibir comandos a distancia de los ciberdelincuentes y puede ser utilizado para diversas actividades ilegales.

¿En qué consiste la amenaza y qué hacen los hackers con los dispositivos infectados?

El principal peligro radica en que estos dispositivos zombis forman parte de una red proxy oculta. Los delincuentes pueden desviar su propio tráfico malicioso a través de la conexión de los dispositivos infectados, enmascarando su verdadera identidad y dificultando la labor de rastreo policial. De este modo, puede parecer que ciertos ataques, fraudes o accesos no autorizados provienen de usuarios inocentes y no de criminales.

Las funcionalidades del malware BadBox 2.0 van mucho más allá de simplemente redirigir el tráfico:

Control remoto total sobre el dispositivo: Los atacantes pueden ejecutar comandos, modificar parámetros y cargar otros programas.
Robo de datos: Credenciales de acceso, contraseñas de un solo uso (OTP), datos personales y cualquier tipo de información almacenada puede ser sustraída.
Creación de cuentas falsas en servicios de mensajería o correo electrónico, utilizadas posteriormente para campañas de desinformación, estafas o suplantación de identidad.
Fraude publicitario y manipulación de clics: El malware puede cargar anuncios de manera invisible al usuario y hacer clics de forma automatizada, generando ingresos para los atacantes y alterando las métricas de páginas web y campañas publicitarias.
Instalación de payloads adicionales: El equipo infectado puede ser utilizado como trampolín para descargar e instalar otros malwares más peligrosos, incluso aquellos que se especializan en espiar o robar más información.
Relleno de credenciales (‘credential stuffing’): Utilizando la dirección IP del usuario, se intentan acceder a otras cuentas con credenciales robadas.

Todo esto ocurre mientras el dispositivo sigue funcionando aparentemente con normalidad. Por si fuera poco, el propietario puede advertir un bajo rendimiento, aparición de anuncios extraños o consumo anómalo de banda ancha en su red doméstica, pero es poco probable que sospeche realmente lo que está ocurriendo en segundo plano.

¿Qué dispositivos están en el punto de mira?

Los más vulnerables son los dispositivos basados en Android Open Source Project sin certificación Play Protect de Google. Es decir, no son los habituales smartphones de marcas conocidas, sino tablets genéricas, TV boxes, decodificadores de televisión y proyectores digitales provenientes de fábricas chinas que no pasan los estrictos controles de Google.

Algunos de los modelos detectados como infectados por distintas investigaciones y por el propio FBI incluyen:

Modelos: TV98, X96 Max, X96mini, X96Q, X96Q2, X96MATE_PLUS, X96Max_Plus2, TV Box X96, LongTV_GN7501E, Fujicom-SmartTV, Q96L2, AV-M9, OCBN, Projector_T6P, H6, entre otros.
Marcos digitales y sistemas multimedia para vehículos procedentes del mercado chino.
Decodificadores de televisión, tablets sin marca y smart TVs de bajo coste o marcas irreconocibles.

En muchos casos, estos productos se comercializan a través de plataformas globales como Amazon, a precios muy bajos que suelen ser irresistibles para el consumidor medio. Lo preocupante es que incluso algunos llegan a ostentar el sello de “Amazon’s Choice”, lo que puede engañar a más de uno.

¿Cómo se distribuye BadBox 2.0 a escala mundial?

El alcance internacional de BadBox 2.0 es abrumador. Expertos en ciberseguridad han rastreado la expansión de la botnet por más de 200 países y territorios, con especial incidencia en Brasil (37,6% de dispositivos comprometidos), Estados Unidos (18,2%), México (6,3%) y Argentina (5,3%). La distribución tan global está estrechamente relacionada con las cadenas de fabricación y comercialización de productos electrónicos low cost que, una vez fabricados en China, se venden a través de tiendas online a cualquier parte del planeta.

A pesar de los intentos de interrumpir la infraestructura de mando y control del malware, la amenaza se mantiene activa y en expansión. A comienzos de 2024, una colaboración entre Google, Trend Micro, Human Security y The Shadowserver Foundation logró desconectar más de medio millón de dispositivos infectados mediante técnicas avanzadas, pero el flujo constante de nuevos productos infectados hace que el problema siga muy vivo.

Principales síntomas de infección: ¿Cómo saber si tienes BadBox 2.0?

Detectar BadBox 2.0 no es tarea sencilla, pero existen varias señales de alerta que pueden ponerte sobre aviso:

Solicitudes para desactivar Google Play Protect durante la configuración inicial del dispositivo.
El aparato proviene de una marca desconocida o sin reputación y, a menudo, su embalaje parece genérico.
Promesas de acceso gratuito a contenidos premium o bloqueados (como “dispositivo desbloqueado” o “streaming gratis”).
Recomendaciones o incluso obligaciones de descargar apps desde tiendas no oficiales o enlaces sospechosos fuera de Google Play Store.
Picos de tráfico de internet inexplicables o actividad rara en tu red doméstica, que no corresponden con el uso real de los dispositivos.
Anuncios adicionales o cambios en el comportamiento de la smart TV o los dispositivos conectados.

Estas señales no constituyen una prueba definitiva, pero sí deben animarte a extremar las precauciones y tomar medidas inmediatas.

¿Por qué es tan difícil eliminar BadBox 2.0?

Una de las cuestiones más inquietantes es que BadBox 2.0 suele residir en la partición del firmware que es de solo lectura, lo que implica que ni los reseteos de fábrica ni las aplicaciones antivirus convencionales pueden eliminarlo en la mayoría de los casos. La única solución realista suele ser contactar con el fabricante y solicitar (si existe) un parche de seguridad o actualización de firmware que erradique el malware. Por desgracia, en dispositivos genéricos o sin soporte técnico, esto es poco menos que una misión imposible.

¿Qué hacer si sospechas que tienes un dispositivo infectado?

Si te asaltan las dudas sobre la integridad de algún equipo de tu hogar, lo más prudente es aislarlo de la red doméstica desconectándolo del wifi o del cable. Así impedirás que actúe como nodo dentro de la botnet y minimizarás los riesgos para el resto de aparatos conectados en tu casa.

En caso de detectarse actividad sospechosa, el FBI recomienda restringir el acceso a internet del dispositivo y, si es posible, ponerlo en cuarentena fuera de tu red principal. Si tienes opción, contacta con el fabricante para solicitar una solución y permanece atento a posibles actualizaciones críticas de firmware. También puedes presentar una denuncia a las autoridades competentes si sospechas que el incidente afecta a tu privacidad o seguridad digital.

Buenas prácticas y medidas para mantenerte a salvo de BadBox 2.0

Ante una amenaza tan persistente y sofisticada, la prevención es tu mejor aliado. Te recomendamos seguir estos pasos para reducir al máximo tu exposición a BadBox 2.0 y otras campañas de malware similares:

Desconfía de los chollos: Los dispositivos extremadamente baratos, de marcas irreconocibles y vendidos sin información clara suelen ser los más expuestos.
Compra solo dispositivos de fabricantes con reputación y que ofrezcan certificaciones oficiales, sobre todo la de Google Play Protect en dispositivos Android.
No descargues aplicaciones de tiendas no oficiales. Mantente siempre en Play Store o App Store si eres usuario de Android o Apple.
Supervisa el tráfico de tu red doméstica y revisa de forma periódica los dispositivos conectados.
Mantén todos tus equipos y el propio router actualizados con los últimos parches de seguridad.
Desactiva y elimina dispositivos sospechosos o que presenten síntomas de infección sin explicación técnica aparente.
Utiliza herramientas especializadas como Bitdefender Mobile Security o soluciones de protección para redes domésticas (por ejemplo, NETGEAR Armor) que pueden ayudarte a detectar comportamientos anómalos.

El papel de fabricantes, plataformas y usuarios en la lucha contra BadBox 2.0

Aunque la responsabilidad última de protegerse recae sobre el usuario, fabricantes y plataformas de venta también deben ejercer un control más riguroso sobre la cadena de suministro y la procedencia del software. La colaboración con empresas de ciberseguridad y la rápida publicación de alertas cuando se detecta un caso nuevo son esenciales para frenar la propagación de campañas como la de BadBox 2.0.

Además, el trabajo conjunto entre organismos públicos (como el FBI), fabricantes, expertos en ciberseguridad y plataformas de e-commerce resulta clave para identificar productos peligrosos, retirarlos del mercado y compartir información relevante con los consumidores.