Hackers toman control de cámaras de seguridad obsoletas para expandir botnet
De acuerdo con Akamai Technologies, descubrió que ciberdelincuentes estaban explotando una vulnerabilidad de seguridad en las cámaras de vigilancia GeoVision descontinuadas, debido a la falta de actualizaciones de software para estos dispositivos del Internet de las Cosas (IoT), que los dejó expuestos ante ciberataques.
Estos ataques se registraron en abril de 2025, cuando Akamai SIRT descubrió actividad dirigida a la URL/DateSetting.cgi en su red global de honeypots. Tras una investigación más exhaustiva, esta actividad se atribuyó a vulnerabilidades de inyección de comandos (CVE-2024-6047 y CVE-2024-11120) previamente descubiertas en dispositivos GeoVision.
“Se descubrió que los ciberdelincuentes buscaban en internet dispositivos GeoVision vulnerables para lanzar ataques con malware conocido”, explica Alex Soares, ingeniero de Soluciones para Socios de LatAm en Akamai. “Basándonos en esta actividad, configuramos lo que llamamos honeypots, servidores y dispositivos que se dejaron desprotegidos a propósito para atraer ataques. En abril, registramos intentos de virus exitosos, lo que confirma que los actores de amenazas están propagando malware dirigido a sistemas vulnerables”, añade.
¿Cómo funciona el ataque?
El análisis revela que el malware en uso es LZRD, una variante de la botnet Mirai, conocida por tomar el control de dispositivos infectados y conectarlos a un servidor remoto. Una vez contagiado, el dispositivo pasa a formar parte de una red oculta de sistemas comprometidos cuyo objetivo es crear un gran volumen de pequeños bots que pueden utilizarse para ejecutar ciberataques. Mediante estos bots, los delincuentes pueden inundar sitios web con tráfico hasta que se desconecten -un ataque conocido como DDoS- o escanear internet en busca de dispositivos más vulnerables para infectar, lo que facilita que la campaña se expanda aún más.
Akamai estima que millones de dispositivos IoT sin protección aún están conectados a Internet y a las redes corporativas internas. Estos equipos incluyen cámaras, routers, intercomunicadores y otros aparatos inteligentes, que facilitan la creación de botnets masivas y desempeñaron un papel fundamental en el aumento del 94% de los ataques DDoS registrado en diciembre de 2024. Debido al alto nivel de automatización para el descubrimiento de estos dispositivos, en caso de que exista una vulnerabilidad conocida, se estará explorando activamente.
Estas amenazas afectan con más fuerza al sector tecnológico, con 7 billones de ataques registrados el año pasado, de acuerdo con el Informe sobre el estado de Internet de Akamai. Dado que los ataques se lanzan desde dispositivos comprometidos integrados en infraestructuras corporativas o incluso utilizados por usuarios finales, estas son las redes utilizadas en los ataques, lo que dificulta rastrear a los delincuentes responsables y hace prácticamente imposible que la defensa sea llevada a cabo sólo por humanos.
Riesgo para las empresas
Los dispositivos infectados representan riesgos de seguridad para las empresas. Una vez comprometidos, los atacantes pueden monitorear lo que graba la cámara, desactivarla e incluso escuchar o hablar a través del dispositivo, violando así la privacidad de quienes se encuentran en el entorno. De esta forma, el dispositivo infectado se convierte en una puerta de entrada a la red interna de la empresa, permitiendo el acceso a información confidencial o allanando el camino para otros ataques, como ransomware o filtraciones, que causan pérdidas millonarias.
“La mayoría de las personas no supervisan lo que sucede con estos dispositivos en segundo plano, por lo que siguen funcionando con normalidad incluso después de verse comprometidos”, comenta Soares. “Los hackers ejecutan comandos sin que nadie se dé cuenta, una negligencia que puede dañar gravemente la reputación de una empresa”.
Recomendaciones
- Actualizar dispositivos. Los ciberdelincuentes explotan vulnerabilidades conocidas en equipos de diversos fabricantes para expandir su botnet. Dado que las actualizaciones y el soporte para los modelos GeoVision afectados han cesado, Akamai recomienda encarecidamente desconectar y reemplazar estos dispositivos por modelos actuales con soporte activo del fabricante.
- Microsegmentación. Este enfoque divide la infraestructura digital de una empresa en pequeños bloques aislados, lo que impide que los atacantes avancen dentro del sistema. Con una red segmentada, incluso si un dispositivo es vulnerado, el acceso a servidores, bases de datos u otros dispositivos sensibles se bloquea o limita, lo que ayuda a contener el ataque, evita su propagación y protege áreas críticas de la organización.
«Es importante recordar que estos ciberdelincuentes están activos y que otros dispositivos similares también están en riesgo; algunos podrían ya estar comprometidos. Recomendamos que los equipos internos de TI actualicen periódicamente sus equipos y se asocien con proveedores que brinden soporte de protección de red interna para evitar que los ataques se propaguen y afecten las operaciones comerciales”, concluye Soares.
WhatsApp eSemanal 55 7360 5651
