En los últimos tiempos se ha destapado un grave problema en el mundo tecnológico: millones de dispositivos Android llegan a manos de los usuarios con malware preinstalado de fábrica. Este tipo de amenaza se esconde en aparatos económicos vendidos, sobre todo, a través de plataformas online a precios irresistibles, pero que pueden convertirse en auténticas puertas traseras digitales para los ciberdelincuentes. El fenómeno afecta a móviles, tabletas, dispositivos de streaming y otros productos inteligentes que, sin que el usuario lo sospeche, forman parte de redes criminales diseñadas para cometer delitos y fraudes en la red.

La preocupación se ha disparado después de que Google denunciara públicamente una operación global que ha conseguido infectar más de 10 millones de terminales utilizando malware introducido en el proceso de fabricación. Los dispositivos, mayoritariamente de bajo coste y procedentes de fábricas en China, llegan a sus nuevos dueños listos para funcionar como instrumentos de actividades ilícitas sin ningún síntoma evidente para el usuario común. Este escenario pone de relieve la importancia de adquirir productos de marcas reconocidas o, al menos, certificados, y alerta sobre lo que puede suponer ceder a la tentación de los precios bajos en la tecnología.

El caso BadBox 2.0

Según la información recopilada, una de las redes criminales más notorias que han explotado esta técnica ha sido bautizada como BadBox 2.0. A través de decodificadores, cajas Android, tabletas y proyectores de bajo coste —en gran parte vendidos por internet— los ciberdelincuentes han logrado crear un ejército de dispositivos zombis que actúan bajo sus órdenes. La trampa consiste en que el software malicioso va oculto desde fábrica, permitiendo a terceros tomar el control remoto de los aparatos en cuanto se conectan a internet.

Una vez en funcionamiento, estos dispositivos infectados trabajan sin descanso en segundo plano. Simulan visitas y clics en anuncios para obtener ingresos fraudulentos, sirven como puente para ocultar actividades ilegales de otros actores (por ejemplo, enviando spam, creando cuentas falsas o distribuyendo ransomware) y pueden incluso ser vendidos como proxies residenciales para encubrir la identidad real de los criminales.

Google, tras descubrir la magnitud del problema junto a HUMAN Security y Trend Micro, ha impulsado medidas legales y técnicas para cortar la expansión de BadBox 2.0. Entre ellas destacan una orden judicial para bloquear dominios web relacionados con la botnet, la actualización de Google Play Protect (el sistema de seguridad nativo de Android) y la colaboración con el FBI en la identificación de los responsables. El objetivo es impedir que se sigan distribuyendo aplicaciones o actualizaciones infectadas, además de alertar a los usuarios sobre el peligro de los equipos no certificados.

Lo más preocupante de esta amenaza es que la mayoría de los afectados ni siquiera son conscientes de estar participando en una red delictiva. Los aparatos funcionan aparentemente con total normalidad, mientras en realidad están generando ingresos a los delincuentes o facilitando la comisión de delitos graves. El FBI ha recomendado expresamente que quienes sospechen que pueden estar utilizando un dispositivo infectado, lo apaguen y desconecten inmediatamente de la red para cortar su actividad.

Entre los modelos afectados destacan dispositivos Android TV box como X88 Pro 10, T95, MXQ Pro o QPLOVE Q9, entre otros. No se trata de smartphones de marcas conocidas como Xiaomi, Samsung u otras internacionales de primer nivel, sino de productos de menor calidad, sin certificación y, muchas veces, adquiridos en tiendas online a precios muy por debajo de la media.

Fraudes y riesgos asociados al malware preinstalado

La acción de este tipo de malware preinstalado va mucho más allá del simple fraude publicitario. Los aparatos implicados pueden ser utilizados para ejecutar ataques de denegación de servicio (DDoS), extorsionar mediante ransomware o robar y exponer datos personales de los usuarios. A menudo, aunque el propietario intente restaurar el teléfono o instalar un antivirus convencional, resulta imposible limpiar la infección, ya que la manipulación se produce directamente en el firmware o en aplicaciones del sistema que no se pueden eliminar sin acceso avanzado.

Además de las pérdidas económicas que pueden sufrir tanto usuarios como anunciantes, existe un impacto en la privacidad y la seguridad personal. El hecho de que estos dispositivos puedan enviar información privada, acceder a conversaciones, contactos o incluso a credenciales bancarias eleva considerablemente el nivel de riesgo para quienes los usan sin saberlo.

Por otro lado, la facilidad para camuflar el malware en actualizaciones o en aplicaciones descargadas desde tiendas no oficiales multiplica el número de potenciales víctimas. En muchos casos, el propio fabricante o el responsable de la cadena de montaje introduce el software malicioso durante el ensamblaje del dispositivo. Esto significa que, aunque el usuario sea cuidadoso instalando sólo apps verificadas, el peligro ya viene de fábrica.

Un aspecto a tener en cuenta es que, al contrario de lo que podría pensarse, el malware no suele provocar el fallo inmediato del dispositivo ni hace saltar alarmas evidentes. Sin embargo, pueden producirse picos de consumo de recursos, aparición de anuncios espontáneos, lentitud inesperada o problemas en la conexión a internet. Estos síntomas deberían hacernos sospechar, especialmente si hemos adquirido el aparato en tiendas online poco conocidas o a un precio realmente bajo.