Un investigador ha realizado ingeniería inversa al SDK de iOS que Bright Data
incorpora en aplicaciones de consumo y ha documentado cómo convierte
dispositivos, incluidos televisores inteligentes siempre encendidos, en nodos
de salida que transmiten el tráfico web para un negocio de datos que Bright
Data comercializa fuertemente en la industria de la IA.
La empresa, sucesora de Luminati, opera lo que llama la red de proxy
residencial más grande del mundo, anunciada en más de 400 millones de IP
residenciales. Parte de ese suministro proviene de este SDK, que se incluye
dentro de aplicaciones gratuitas detrás de una pantalla de suscripción y se
describe como un grupo de más de 150 millones de direcciones IP
«obtenidas mediante consentimiento».
Los hallazgos, publicados el 5 de junio por
Include Security
y el investigador independiente Buchodi, son importantes porque el
scraping proviene de la IP doméstica del usuario, no de la del cliente.
El riesgo inmediato no es una cuenta pirateada o datos robados; es que una
conexión doméstica y su ancho de banda se utilizan como infraestructura de
raspado de otra persona.
Un televisor conectado es casi ideal para eso: generalmente enchufado, con una
conexión rápida, efectivamente no medido y sin mirar.
La evidencia técnica más profunda proviene del SDK de iOS; El alcance de la
televisión inteligente se basa en el soporte de la plataforma de Bright Data,
su lista de socios públicos y sus informes anteriores. La investigación
encontró que el canal de pares que realiza trabajos de scraping no tiene
autenticación real y, en iOS, su tráfico pasa por alto una VPN configurada.
Dentro del túnel de pares
Cuando se abre la aplicación, el SDK se pone en contacto con uno de los
servidores de Bright Data, que entrega sus instrucciones sin comprobar
realmente quién pregunta. A partir de ese momento, el servidor puede indicarle
al dispositivo que vaya a buscar páginas de otros sitios web, utilizando la
conexión a Internet del hogar del usuario para hacerlo.
El investigador descubrió que el canal que realiza esas tareas no tiene
ninguno de los controles de seguridad habituales y lo describió como más débil
que los controles integrados en la mayoría del malware.
En los iPhone, el investigador descubrió que este tráfico pasa por una VPN y
que gran parte de lo que hace la aplicación no aparece en las herramientas que
los equipos de seguridad normalmente usan para monitorear las aplicaciones. El
dispositivo también puede seguir transmitiendo en segundo plano mientras
alguien mira la pantalla o atiende una llamada, siempre que la batería no esté
baja.
La brecha de consentimiento
La pantalla de suscripción no coincide con lo que realmente permite el SDK. En
una aplicación de Roku, Petflix, la pantalla decía que usaría el dispositivo y
su conexión «ocasionalmente».
La configuración que carga el SDK permite hasta 200 GB de tráfico al
mes.
En algunos países, incluidos Uzbekistán y Omán, los límites son mucho más
altos y el dispositivo puede seguir funcionando casi hasta que se agote la
batería. El SDK también puede unir el teléfono de una persona y las
computadoras que ejecutan las aplicaciones de la misma empresa, tratándolos
como un solo usuario.
Bright Data publica su lista de socios de aplicaciones en una página que
cualquiera puede abrir e incluye creadores de aplicaciones de televisión
inteligente como PlayWorks Digital, CloudTV y Longvision. El investigador
tiene cuidado de señalar que estar en la lista solo muestra que una empresa
trabajó con Bright Data en algún momento, no que su aplicación incluya el SDK
en la actualidad. Habría que comprobar cada uno por separado.
Un modelo antiguo, impulsado por la demanda de IA
Nada de esto es nuevo en cuanto a forma, sólo en escala. Bright Data es el
sucesor de Luminati, el servicio de proxy pago que surgió de Hola VPN. En
2015,
Hola fue sorprendida vendiendo el ancho de banda de sus usuarios
gratuitos
como nodos de salida a través de Luminati, a 20 dólares el gigabyte. El mismo
modelo funciona ahora en la caja siempre encendida del salón.
Lo que cambió es el comprador. Las defensas anti-bot de Cloudflare, DataDome y
otros bloquean los scrapers provenientes de las IP de los centros
de datos, por lo que los scrapers de IA se dirigen a través
de conexiones residenciales.
Krebs informó en octubre de 2025
que los servidores proxy de botnets como Aisuru están impulsando la
recolección de datos de IA a gran escala, y
Google desmanteló la red proxy criminal IPIDEA en enero. Esas operaciones secuestran los dispositivos de los consumidores; Bright
Data dice que sus nodos de salida optan por participar a través de una
pantalla de consentimiento. Ese consentimiento es la línea divisoria entre
ambos, y si es significativo es la cuestión abierta.
Lowpass apareció en febrero, y este es el desmontaje técnico. Desde entonces, Google, Amazon y Roku han
restringido los SDK de proxy en segundo plano, y Bright Data eliminó esas
plataformas, aunque todavía incluye Tizen de Samsung y webOS de LG.
Qué hacer
El tráfico es fácil de detectar y bloquear. En una red doméstica, el paso más
sencillo es bloquear las direcciones web que utiliza el SDK para conectarse,
con una herramienta a nivel de enrutador como Pi-hole o NextDNS.
Los principales son proxyjs.brdtnet.com,
proxyjs.luminatinet.com, proxyjs.bright-sdk.com,
clientdk.bright-sdk.com y clientdk.brdtnet.com. Según la
investigación, bloquearlos impide que el dispositivo actúe como un proxy sin
afectar el servicio pago de Bright Data, que se ejecuta en direcciones
separadas.
Las empresas que administran los teléfonos del personal también pueden buscar
aplicaciones que incluyan el SDK. Un problema: en una conexión móvil, el
tráfico evita el Wi-Fi de la oficina, por lo que un bloqueo de red por sí solo
no siempre lo captará. Bright Data también podría cambiar la forma en que se
conecta el SDK en el futuro, lo que significaría que es necesario actualizar
cualquier lista de bloqueo.
Fuente:
THN