¿Firmware Corrupto en la web de TP-Link?

Aclaraciones Antes que nada, aclaro que no soy taringuero, ni bloguero, ni nada de eso. Escribo este post porque intentando resolver este problema no encontré nada de información en Internet, y me pareció que podía ser de utilidad para alguien en la misma situación. Ya que dejo escrito casi todos los pasos de mi pequeña investigación. Y por ultimo, si bien no uso muchos tecnicismos, el post no es para cualquier lector, así que si no tenes este problema, o no estas muy interiorizado en la informática, o desarrollo web, dudo que necesites leerlo. El Asunto El problema en cuestión, fue que empece a ver PopUps de publicidad en mi navegador Chrome de mi celular Motorola G. Tal como muestro en la siguiente imagen. Yo no instalo aplicaciones en mi celular, mas que las elementales (WatsApp y Facebook) descargadas de la tienda de google, por lo que me pareció muy extraño haber agarrado un malware. La primera medida que tome, fue "formatear" el celular. Lo restaure a fabrica, y luego lo primero que hice fue abrir chrome.. Y sorpresa, los pop ups seguían. Me asusto un poco el pensar que tenia un malware que era capaz de perdurar luego de un Factory Reset. Ya estaba pensando en que iba a tener que flashear mi Motorola, cosa que no tenia ganas de hacer, cuando charlando con mi hermana en el almuerzo y contándole que se me había echo pelota el celular, me comenta que ella también tenia esos pop ups en la tablet y el celular. Y ahí dije, no puede ser, esto va mas allá. Me quede con esto en la cabeza, y me fui a mi oficina a trabajar un poco. En eso decido mirar nuevamente los popups para googlear un poco al respecto, y sorpresa. No aparecían.. Desactive el wifi, probé varias web desde el 3g y nada, no había mas popups. Y ahí dije, eso esta pasando solo en mi casa, como es eso posible? Llegue a casa, conecte mi celular con el cable a la pc, abri el inspector de dispositivos de chrome, y me puse a debugear/inspeccionar la web de MercadoLibre en el celular. Note que al terminar de cargarse, se agregaban dos javascript al final. (elegí ML para probar, pero en cualquier web no https ocurre lo mismo) Decidí probar si en la pc pasaba lo mismo, en chrome emulé un celular Motorola, y entre a MercadoLibre . También pasaba.. Ahi se puso feo la cosa. Me preocupó bastante que en mi pc también ocurriese, porque soy extremadamente cuidadoso con lo que entra y sale de mi computadora. Windows y todos mis juegos/software son originales. Actualmente me dedico a la programación, me inicie en este rubro desde muy chico, y pase un tiempo desarrollando cosas de dudosa finalidad. Por lo que me considero bastante conocedor sobre seguridad informática. En fin, mi computadora no podía tener ningún tipo de infección. Me puse a ver de donde venían estos js (scripts), y acá empieza lo interesante... Todo terminaba apuntando al ga.js Sonaba poco creíble que ga.js pueda tener malware. Para el que no conoce, ga.js es el script de Google Analytics utilizado para contabilizar las visitas, interacciones, trafico y todo eso de una web. Esto esta presente en prácticamente todas las paginas que puedan visitar. No es nada malo. Para corroborar si ga.js tenia algo, compare con la versión que yo recibía con una recibida desde una red externa. Ahí me encontré con que mi ga.js llegaba modificado, cosa que no es simple de logar, porque implica que algo lo modifico, en algún momento entre que salio del servidor, y llego hasta la placa de red de mi pc/celular/tablet etc. (Lo marcado en rojo es código que no debería estar). Para estar totalmente seguro que el problema era en algun lugar de la red, decidí trazar las rutas del dominio de google-analytics (Donde esta el ga.js). Hice esto conectado a mi red domestica, de fibertel. Y despues conectado a un hostpot de mi celular, y una red publica de epec. Los resultados: (izquierda), desde mi red domestica. El dominio de google analytics caia en una ip brasilera, y me daba un ga.js modificado. (derecha), desde otras redes. El dominio de google analytics caía en ips bajo control de google. Ahora que sabia que todos mis dispositivos eran seguros y saludables, tenia que descubrir quien y donde estaba alterando mi trafico http. (noté que con https no ocurría esto, como era de esperarse). Asi que el primer paso, fue sacar el router y conectarme por cable directo al modem. Y voilá, todo funcionaba perfecto. El fucking router estaba spoofeando el dominio de google analytics, y apuntándolo a uno fake. Ahí recordé, que hace poco tiempo había actualizado el firmware, y había bajando el ultimo de la pagina oficial de soporte de TP-Link. ¿Pero como un firmware de la pagina oficial iba a provocar esto? Para sacarme la duda, baje nuevamente el ultimo, flashee el router, y todavía obtenía los ads. Así que bueno, a la basura el router. Como dije antes, no digo que todo lo de tp-link sea peligroso. Esto solo me ocurrió con el firmware: wr741nv4_en_3_17_0_up_boot(150119).bin El único que probé. Ya informé a soporte de tp-link. Espero que a alguien le sirva esta info.