Un investigador ha realizado ingeniería inversa al SDK de iOS que Bright Data incorpora en aplicaciones de consumo y ha documentado cómo convierte dispositivos, incluidos televisores inteligentes siempre encendidos, en nodos de salida que transmiten el tráfico web para un negocio de datos que Bright Data comercializa fuertemente en la industria de la IA.
La empresa, sucesora de Luminati, opera lo que llama la red de proxy residencial más grande del mundo, anunciada en más de 400 millones de IP residenciales. Parte de ese suministro proviene de este SDK, que se incluye dentro de aplicaciones gratuitas detrás de una pantalla de suscripción y se describe como un grupo de más de 150 millones de direcciones IP obtenidas mediante consentimiento.
Los hallazgos, publicados el 5 de junio por Include Security y el investigador independiente Buchodi, son importantes porque el scraping proviene de la IP doméstica del usuario, no de la del cliente. El riesgo inmediato no es una cuenta pirateada o datos robados; es que una conexión doméstica y su ancho de banda se utilizan como infraestructura de raspado de otra persona.
Un televisor conectado es casi ideal para eso: generalmente enchufado, con una conexión rápida, efectivamente no medido y sin mirar.
La evidencia técnica más profunda proviene del SDK de iOS; El alcance de la televisión inteligente se basa en el soporte de la plataforma de Bright Data, su lista de socios públicos y sus informes anteriores. La investigación encontró que el canal de pares que realiza trabajos de scraping no tiene autenticación real y, en iOS, su tráfico pasa por alto una VPN configurada.
Dentro del túnel de pares
Cuando se abre la aplicación, el SDK se pone en contacto con uno de los servidores de Bright Data, que entrega sus instrucciones sin comprobar realmente quién pregunta. A partir de ese momento, el servidor puede indicarle al dispositivo que vaya a buscar páginas de otros sitios web, utilizando la conexión a Internet del hogar del usuario para hacerlo.
El investigador descubrió que el canal que realiza esas tareas no tiene ninguno de los controles de seguridad habituales y lo describió como más débil que los controles integrados en la mayoría del malware.
En los iPhone, el investigador descubrió que este tráfico pasa por una VPN y que gran parte de lo que hace la aplicación no aparece en las herramientas que los equipos de seguridad normalmente usan para monitorear las aplicaciones. El dispositivo también puede seguir transmitiendo en segundo plano mientras alguien mira la pantalla o atiende una llamada, siempre que la batería no esté baja.
La brecha de consentimiento
La pantalla de suscripción no coincide con lo que realmente permite el SDK. En una aplicación de Roku, Petflix, la pantalla decía que usaría el dispositivo y su conexión «ocasionalmente».
La configuración que carga el SDK permite hasta 200 GB de tráfico al mes. En algunos países, incluidos Uzbekistán y Omán, los límites son mucho más altos y el dispositivo puede seguir funcionando casi hasta que se agote la batería. El SDK también puede unir el teléfono de una persona y las computadoras que ejecutan las aplicaciones de la misma empresa, tratándolos como un solo usuario.
Bright Data publica su lista de socios de aplicaciones en una página que cualquiera puede abrir e incluye creadores de aplicaciones de televisión inteligente como PlayWorks Digital, CloudTV y Longvision. El investigador tiene cuidado de señalar que estar en la lista solo muestra que una empresa trabajó con Bright Data en algún momento, no que su aplicación incluya el SDK en la actualidad. Habría que comprobar cada uno por separado.
Un modelo antiguo, impulsado por la demanda de IA
Nada de esto es nuevo en cuanto a forma, sólo en escala. Bright Data es el sucesor de Luminati, el servicio de proxy pago que surgió de Hola VPN. En 2015, Hola fue sorprendida vendiendo el ancho de banda de sus usuarios gratuitos como nodos de salida a través de Luminati, a 20 dólares el gigabyte. El mismo modelo funciona ahora en la caja siempre encendida del salón.
Lo que cambió es el comprador. Las defensas anti-bot de Cloudflare, DataDome y otros bloquean los raspadores provenientes de las IP de los centros de datos, por lo que los raspadores de IA se dirigen a través de conexiones residenciales.
Krebs informó en octubre de 2025 que los servidores proxy de botnets como Aisuru están impulsando la recolección de datos de IA a gran escala, y Google desmanteló la red proxy criminal IPIDEA en enero. Esas operaciones secuestran los dispositivos de los consumidores; Bright Data dice que sus nodos de salida optan por participar a través de una pantalla de consentimiento. Ese consentimiento es la línea divisoria entre ambos, y si es significativo es la cuestión abierta.
Lowpass, distribuido por The Verge, apareció por primera vez en el ángulo de la televisión inteligente en febrero, y este es el desmontaje técnico. Desde entonces, Google, Amazon y Roku han restringido los SDK de proxy en segundo plano, y Bright Data eliminó esas plataformas, aunque todavía incluye Tizen de Samsung y webOS de LG.
que hacer
El tráfico es fácil de detectar y bloquear. En una red doméstica, el paso más sencillo es bloquear las direcciones web que utiliza el SDK para conectarse, con una herramienta a nivel de enrutador como Pi-hole o NextDNS.
Los principales son proxyjs.brdtnet.com, proxyjs.luminatinet.com, proxyjs.bright-sdk.com, clientdk.bright-sdk.com y clientdk.brdtnet.com. Según la investigación, bloquearlos impide que el dispositivo actúe como un relé sin afectar el servicio pago de Bright Data, que se ejecuta en direcciones separadas.
Las empresas que administran los teléfonos del personal también pueden buscar aplicaciones que incluyan el SDK. Un problema: en una conexión móvil, el tráfico evita el Wi-Fi de la oficina, por lo que un bloqueo de red por sí solo no siempre lo captará. Bright Data también podría cambiar la forma en que se conecta el SDK en el futuro, lo que significaría que es necesario actualizar cualquier lista de bloqueo.