El Equipo de Inteligencia y Respuesta de Seguridad de Akamai Technologies, empresa de ciberseguridad y servicios en la nube, descubrió que ciberdelincuentes estaban explotando una vulnerabilidad de seguridad en las cámaras de vigilancia GeoVision descontinuadas. La empresa descubrió que esta vulnerabilidad surgió debido a la falta de actualizaciones de software para estos dispositivos del Internet de las Cosas (IoT), que los dejó expuestos ante ciberataques, según fue dado a conocer a través de una nota de prensa.

Según detalló la nota de prensa, estos ataques se registraron en abril de 2025, cuando Akamai SIRT descubrió actividad dirigida a la URL/DateSetting.cgi en su red global de honeypots. Tras una investigación más exhaustiva, esta actividad se atribuyó a vulnerabilidades de inyección de comandos (CVE-2024-6047 y CVE-2024-11120) previamente descubiertas en dispositivos GeoVision.

Alex Soares, Ingeniero de Soluciones para Socios de LatAm en Akamai explicó que “Akamai descubrió que los ciberdelincuentes buscaban en internet dispositivos GeoVision vulnerables para lanzar ataques con malware conocido. Basándonos en esta actividad, configuramos lo que llamamos honeypots, servidores y dispositivos que se dejaron desprotegidos a propósito para atraer ataques. En abril registramos intentos de virus exitosos, lo que confirma que los actores de amenazas están propagando malware dirigido a sistemas vulnerables”.

¿Cómo funciona el ataque?

El comunicado oficial reveló que el malware en uso es LZRD, una variante de la botnet Mirai, conocida por tomar el control de dispositivos infectados y conectarlos a un servidor remoto. Una vez contagiado, el dispositivo pasa a formar parte de una red oculta de sistemas comprometidos cuyo objetivo es crear un gran volumen de pequeños bots que pueden utilizarse para ejecutar ciberataques.

Mediante estos bots, los delincuentes pueden inundar sitios web con tráfico hasta que se desconecten, un ataque conocido como DDoS, o escanear internet en busca de dispositivos más vulnerables para infectar, lo que facilita que la campaña se expanda aún más.

Akamai estima que millones de dispositivos IoT sin protección aún están conectados a Internet y a las redes corporativas internas. Estos equipos incluyen cámaras, routers, intercomunicadores y otros aparatos inteligentes, que facilitan la creación de botnets masivas y desempeñaron un papel fundamental en el aumento del 94% de los ataques DDoS registrado en diciembre de 2024.

Debido al alto nivel de automatización para el descubrimiento de estos dispositivos, en caso de que exista una vulnerabilidad conocida, se estará explorando activamente. Estas amenazas afectan con más fuerza al sector tecnológico, con 7 billones de ataques registrados el año pasado, de acuerdo con el Informe sobre el estado de Internet de Akamai.

Dado que los ataques se lanzan desde dispositivos comprometidos integrados en infraestructuras corporativas o incluso utilizados por usuarios finales, estas son las redes utilizadas en los ataques, lo que dificulta rastrear a los delincuentes responsables y hace prácticamente imposible que la defensa sea llevada a cabo solo por humanos.

Riesgo para las empresas

Los dispositivos infectados representan graves riesgos de seguridad para las empresas. Una vez comprometidos, los atacantes pueden monitorear lo que graba la cámara, desactivarla e incluso escuchar o hablar a través del dispositivo, violando así la privacidad de quienes se encuentran en el entorno. De esta forma, el dispositivo infectado se convierte en una puerta de entrada a la red interna de la empresa, permitiendo el acceso a información confidencial o allanando el camino para otros ataques, como ransomware o filtraciones, que causan pérdidas millonarias”, informó la comunicación oficial de Akamai.

La mayoría de las personas no supervisan lo que sucede con estos dispositivos en segundo plano, por lo que siguen funcionando con normalidad incluso después de verse comprometidos”, comentó Soares. Además, agregó que “los hackers ejecutan comandos sin que nadie se dé cuenta, una negligencia que puede dañar gravemente la reputación de una empresa”.

Recomendaciones de Akamai para evitar los ciberataques

  • Actualizar dispositivos: En el documento, el equipo de Akamai informó que los ciberdelincuentes explotan vulnerabilidades conocidas en equipos de diversos fabricantes para expandir su botnet. Dado que las actualizaciones y el soporte para los modelos GeoVision afectados han cesado, Akamai recomienda encarecidamente desconectar y reemplazar estos dispositivos por modelos actuales con soporte activo del fabricante.
  • Microsegmentación: El equipo de Akamai además recomendó que a través de la microsegmentación le permitirá a los usuarios dividir la infraestructura digital de una empresa en pequeños bloques aislados. Este enfoque lo que impide es que los atacantes avancen dentro del sistema. Con una red segmentada, incluso si un dispositivo es vulnerado, el acceso a servidores, bases de datos u otros dispositivos sensibles se bloquea o limita, lo que ayuda a contener el ataque, evita su propagación y protege áreas críticas de la organización.

Para concluir con sus recomendaciones, Soares comentó que "es importante recordar que estos ciberdelincuentes están activos y que otros dispositivos similares también están en riesgo; algunos podrían ya estar comprometidos. Recomendamos que los equipos internos de TI actualicen periódicamente sus equipos y se asocien con proveedores que brinden soporte de protección de red interna para evitar que los ataques se propaguen y afecten las operaciones comerciales”.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.