La tele del living no es solo una tele
Hace unos días me enteré de una wea que me dejó helado. Resulta que casi la mitad de las apps en Smart TVs de marcas como LG y Samsung vienen con un regalito escondido: un SDK que convierte tu televisor en un nodo de proxy residencial. En criollo: están vendiendo tu IP y tu ancho de banda a terceros sin que te enteres bien.
Spur Intelligence Labs hizo un estudio donde escanearon más de 6.000 apps. El resultado? 2.058 de ellas estaban vendiendo la conexión del usuario. Eso es un 34% del total. No es un error, no es un bug. Es el modelo de negocio.
Cómo funciona el engaño
La movida es simple. Bajas una app gratis —un reloj, un juego de solitario, un salvapantallas— y en algún momento del setup te aparece un aviso con letra chica. Aceptas sin leer (quién lee esas weas con el control remoto) y listo: la app se cierra, pero el proxy sigue corriendo en segundo plano.
Las empresas detrás de esto son Bright Data, Massive y Honeygain/Oxylabs. Bright Data sola tiene más de 150 millones de IPs activas. Su SDK está embebido en cientos de apps y lo peor es que la configuración es pública: sin autenticación, cualquiera puede consultar qué partners tienen y cómo opera el sistema.
El riesgo real: tu red local expuesta
Aquí es donde yo me pongo nervioso. Cuando tu tele se convierte en proxy, no solo están usando tu IP para hacer web scraping. El tráfico puede dirigirse a direcciones locales: 192.168.x.x, 10.x.x.x. Eso significa que alguien podría, en teoría, tocar tu router, tu NAS, tus cámaras, tu impresora. Todo lo que tengas en la red de tu casa.
Bright Data dice que bloquean rangos privados, pero Include Security encontró que Massive y Honeygain no tienen el mismo bloqueo. La frontera no es técnica, es de política. Y las políticas de una empresa de monetización de datos no me dan mucha confianza.
Amazon y Roku lo prohiben; LG y Samsung miran para el lado
Esto es lo que más me molesta. Amazon Fire TV explícitamente prohíbe que las apps actúen como proxies para terceros. Roku, según los reportes, bloqueó el SDK de Bright Data y las apps desaparecieron después de contactarlos. Pero LG webOS y Samsung Tizen? No tienen política pública equivalente. El mismo modelo que Amazon banea y Roku rechaza sigue operando a escala en las dos plataformas más grandes del mercado.
Mi opinión: revisa tus apps ahora
Yo no soy paranoico de la seguridad, pero esto me parece una falta de respeto total. La gente compra una tele pensando que es un mueble, no un servidor de proxy 24/7. Si tienes una Smart TV en tu casa, hazte un favor: revisa las apps instaladas. Desinstala las que no uses. Lee los términos si instalas algo nuevo. Y si puedes, mete la tele en una VLAN separada o bloquea el tráfico sospechoso en tu router.
El peor enemigo de la privacidad no es siempre el hacker con capucha. A veces es una app de reloj digital que aceptaste sin pensar.
Fuente de inspiración: Nearly Half of LG Smart TV Apps Contain Residential Proxy SDKs
