🔓 Open Source
52|Tu smart TV podría estar atacando servidores sin que lo sepas
53| 54|Hay un ejército de smart TVs atacando servidores en este momento. Y la tuya podría ser una de ellas sin que lo sepas.
La Free Software Foundation (FSF) acaba de publicar cómo sus sysadmins bloquean una botnet de 5 millones de IPs compuesta principalmente por smart TVs infectadas. La historia tiene de todo: una tool open source llamada reaction, límites de firewall superados, y un botnet que opera desde dispositivos que la gente tiene en su sala.
Esto no es una película de ciencia ficción. Es lo que está pasando ahora mismo en los servidores de Savannah (el hosting de proyectos GNU) y podría estar pasando en tu servidor también.
El problema: 65.000 reglas de firewall no son suficientes
Todo empezó cuando los sysadmins de la FSF notaron patrones anormales en los scrapers que golpeaban sus servidores. No eran crawlers normales de Google. Eran bots agresivos robando datos para entrenar modelos de IA.
Empezaron escribiendo expresiones regulares para detectar los patrones sospechosos. Las expresiones regulares revelaron IPs. Y cuando investigaron el origen de esas IPs, descubrieron algo inquietante: no venían de data centers, sino de hogares comunes.
Estaban siendo atacados por una botnet de smart TVs.
Vo1d/Popa: la botnet que vive en tu sala
La botnet se llama Vo1d (también conocida como Popa) y está compuesta por smart TVs con Android modificado ejecutando una app comprometida. Los investigadores de Qurium, una organización especializada en forense digital, lograron infiltrar un nodo y confirmaron el hallazgo.
El dato más escalofriante: los dueños de las TVs no tienen idea de que sus dispositivos están atacando servidores en todo el mundo. La TV funciona normal, reproduce Netflix, todo parece bien. Pero en segundo plano, está robando datos y golpeando servidores.
Las smart TVs son el objetivo perfecto para los criminales:
- Nunca se apagan — siempre están en standby, siempre conectadas
- No reciben actualizaciones — los fabricantes las abandonan a los 2-3 años
- Corren Android modificado — lleno de bloatware y puertas traseras
- Nadie las monitorea — ¿cuándo fue la última vez que revisaste tu TV por malware?
fail2ban + ipset: la primera línea de defensa
Los sysadmins de la FSF empezaron usando fail2ban con UFW (Uncomplicated Firewall). Pero UFW empieza a degradarse con ~65.000 reglas. Con una botnet de 5 millones de IPs, eso no sirve.
Migraron a ipset, una herramienta de Linux que permite manejar listas de IPs en el kernel sin saturar el firewall. Con ipset, lograron manejar hasta 5 millones de reglas sin inestabilidad. Pero fail2ban seguía siendo el cuello de botella: su arquitectura con Python y SQLite no escalaba bien.
Escribieron scripts personalizados en BASH, awk y Perl como parches rápidos. Funcionaban, pero mantener decenas de scripts se volvió insostenible.
Reaction: el arma secreta open source
Buscando alternativas, encontraron reaction, una herramienta escrita por ppom y alojada en Framagit (el forja de Framasoft). A diferencia de fail2ban, reaction está diseñada para manejar grandes volúmenes de reglas sin degradación.
El problema: reaction no venía con configuración lista para ipset. Los sysadmins de la FSF tuvieron que construir su propia configuración desde la documentación de ejemplo. Después de varios intentos, lograron una implementación donde el proceso de shutdown exporta los IP sets a disco y el startup los restaura, permitiendo reinicios casi instantáneos al aplicar nuevas reglas.
Lo mejor: publicaron toda su configuración en el wiki de reaction para que cualquiera pueda usarla. De hecho, la documentación oficial de reaction ahora usa el método que ellos propusieron.
¿Qué puedes hacer para protegerte?
Si tienes un servidor (o quieres proteger tu red local), aquí van las lecciones de esta historia:
- Revisa tus smart TVs — si tiene más de 2 años y no recibe actualizaciones, considera desconectarla de internet y usar un Chromecast o Apple TV como reemplazo
- Usa ipset en vez de UFW — si manejas más de 10.000 reglas, ipset es órdenes de magnitud más eficiente que UFW
- Conoce reaction — es open source, está en
framagit.org, y puede reemplazar a fail2ban cuando este se queda corto - Segmenta tu red — pon los dispositivos IoT (incluyendo smart TVs) en una VLAN separada sin acceso a tus servidores
La paradoja de la seguridad en 2026
Lo más irónico de esta historia es que los atacantes estaban robando datos para entrenar modelos de IA, y la FSF terminó usando herramientas open source y colaboración comunitaria para defenderse. El mismo ecosistema que los scrapers intentaban explotar fue lo que los detuvo.
Mientras tanto, tu smart TV sigue ahí, conectada, esperando. 5 millones de IPs. Y counting.
Comparte esto con alguien que tenga una smart TV sin actualizar. Podría estar ayudando a una botnet sin saberlo.
62| 63|