La compra de dispositivos de segunda mano —portátiles, smartphones y otros equipos electrónicos— se ha convertido en una práctica habitual. Sin embargo, cada vez con más frecuencia estos aparatos llegan al usuario con un “extra” oculto: malware preinstalado que integra el dispositivo en un botnet y lo utiliza para lanzar ataques DDoS. El problema no se limita a ordenadores y móviles; también afecta a routers, cámaras IP, TV box Android, NAS y dispositivos de hogar inteligente, desde cafeteras conectadas hasta robots aspiradores.
Dispositivos de segunda mano como infraestructura silenciosa para DDoS y botnets
Empresas especializadas en ciberseguridad señalan un aumento en los casos en los que los compradores detectan software malicioso en equipos usados recién adquiridos. Este incremento se explica tanto por la mayor difusión de las amenazas como por una mejora de la ciberhigiene: más usuarios instalan soluciones de seguridad y realizan análisis periódicos de sus sistemas.
En paralelo, los botnets IoT y tradicionales no dejan de crecer en tamaño y capacidad. Para ejecutar campañas de ataques DDoS a gran escala, los operadores de estos botnets necesitan decenas o cientos de miles de dispositivos comprometidos. Cada equipo aporta solo una fracción de céntimo de beneficio, por lo que el modelo solo resulta rentable con una infección masiva. Esta presión económica impulsa la búsqueda de vectores de infección a gran escala, como el mercado de segunda mano y los dispositivos IoT vulnerables.
Cómo llega el malware a dispositivos nuevos y usados
Reventa de hardware barato con firmware manipulado y puertas traseras
Uno de los escenarios más comentados consiste en la compra al por mayor de dispositivos económicos por parte de ciberdelincuentes, que sustituyen el firmware original por una versión modificada con un backdoor. Tras la reventa, el aparato se conecta de manera automática al servidor de mando y control en cuanto se enciende por primera vez. El usuario percibe un funcionamiento aparentemente normal, mientras que la actividad maliciosa —envío de tráfico DDoS, participación en campañas de spam o minería de criptomonedas— se ejecuta en segundo plano.
Ataques a la cadena de suministro y firmware comprometido de fábrica
Un vector aún más preocupante y escalable es la comprometida de la cadena de suministro, donde el firmware se infecta en la fase de producción. Muchos fabricantes subcontratan el desarrollo del software de sus dispositivos, y es en ese punto donde pueden insertarse módulos maliciosos. El resultado es que determinados modelos de teléfonos, TV box o dispositivos IoT llegan al mercado ya integrados en un botnet.
Investigaciones recientes han documentado, por ejemplo, la presencia de una versión modificada del malware Triada en el firmware de smartphones Android falsificados que imitaban modelos populares. En un breve periodo de marzo de 2025, más de 2600 usuarios de distintos países se vieron afectados, con especial concentración en Rusia. Otros casos notables son los botnets Kimwolf y Aisuru, detectados en dispositivos Android para streaming, que a finales de 2025 sumaban más de 1,8 millones de aparatos comprometidos.
A pesar de estos casos, expertos en seguridad señalan que los esquemas masivos basados en comprar dispositivos “limpios” para flashearlos y revenderlos con malware siguen siendo minoritarios. Con mayor frecuencia, los vendedores sin escrúpulos manipulan el software para instalar troyanos bancarios orientados al robo de credenciales y fondos, más que a la integración en un botnet.
Los más expuestos: routers, cámaras IP y hogar inteligente
El riesgo no se limita a portátiles y móviles usados. En la práctica, los objetivos más vulnerables son los dispositivos de red e IoT: routers domésticos, cámaras IP, TV box, sistemas de almacenamiento NAS y electrodomésticos inteligentes. Entre las causas destacan el escaso enfoque en seguridad por parte de algunos fabricantes, el uso de bibliotecas desactualizadas, la ausencia de parches de seguridad, las contraseñas predeterminadas débiles y la falta de obligación de cambiarlas durante la configuración inicial.
El problema se agrava en el caso de dispositivos cuyo fabricante ha dejado de publicar actualizaciones. Estos equipos permanecen conectados durante años con vulnerabilidades conocidas, convirtiéndose en objetivos fáciles para la integración en botnets. En muchos casos, la infección no produce síntomas visibles: el usuario sigue utilizando el dispositivo sin notar que su router hackeado o su robot aspirador participan en ataques contra servicios ajenos.
Buenas prácticas de ciberseguridad al comprar tecnología usada e IoT
Medidas esenciales al adquirir portátiles y smartphones de segunda mano
Los especialistas recomiendan tratar cualquier dispositivo de segunda mano como potencialmente comprometido. En el caso de portátiles y PCs, el primer paso debe ser una reinstalación completa del sistema operativo desde imágenes oficiales, borrando todas las particiones del disco. Para smartphones, la medida mínima es un restablecimiento a valores de fábrica, seguido de la instalación de todas las actualizaciones disponibles y de la descarga de aplicaciones únicamente desde tiendas oficiales.
Antes de conectar el dispositivo a la red doméstica, conviene realizar un análisis con una solución antivirus actualizada. Si se detecta malware, lo más prudente es formatear por completo el almacenamiento, reinstalar o flashear el firmware oficial y solo entonces configurar de nuevo el sistema y las aplicaciones.
Configuración segura de routers y dispositivos de hogar inteligente
En routers, cámaras IP y gadgets de hogar inteligente resulta crítico cambiar de inmediato el usuario y contraseña por defecto, desactivar los servicios de acceso remoto innecesarios y la función UPnP si no es imprescindible, así como comprobar periódicamente la disponibilidad de actualizaciones de firmware.
Una práctica recomendada es la segmentación de la red doméstica: ubicar los dispositivos IoT en una red Wi‑Fi de invitados o en una VLAN separada, aislada de los ordenadores y móviles principales. Conectar a Internet dispositivos muy económicos de marcas desconocidas —especialmente si no reciben actualizaciones— supone un riesgo difícil de justificar; en muchos casos es preferible limitar su acceso a la red o utilizarlos en un entorno aislado.
Adoptar criterios estrictos al comprar dispositivos de segunda mano, mantener una ciberhigiene básica y configurar con cuidado la infraestructura IoT del hogar reduce de forma significativa la probabilidad de que la electrónica doméstica acabe trabajando para un botnet. Conviene asumir una regla sencilla: todo dispositivo nuevo o usado debe analizarse, actualizarse y configurarse con seguridad antes de conectarlo a la red. Cuanto antes se generalicen estas prácticas entre los usuarios, más difícil será para los atacantes construir botnets masivos a partir de la tecnología cotidiana.
