Akamai Technologies identificó una operación cibercriminal enfocada en dispositivos GeoVision descontinuados que pone en riesgo la seguridad de los usuarios.
La empresa especializada en ciberseguridad y servicios en la nube, detectó la explotación de una vulnerabilidad en cámaras de vigilancia fuera de soporte. La ausencia de actualizaciones de software en estos dispositivos IoT expone a los equipos a ataques cibernéticos.
Los incidentes se registraron en abril de 2025, cuando la red global de honeypots de Akamai identificó actividad anómala dirigida a la URL /DateSetting.cgi. La investigación determinó que esta actividad está relacionada con vulnerabilidades de inyección de comandos (CVE-2024-6047 y CVE-2024-11120) ya conocidas en cámaras GeoVision.
El análisis técnico señala que el malware utilizado es LZRD, variante de la botnet Mirai, la cual permite controlar dispositivos infectados y conectarlos a servidores remotos. Los dispositivos comprometidos forman parte de una red oculta de bots que facilita la ejecución de ataques distribuidos de denegación de servicio (DDoS) y la búsqueda activa de nuevos dispositivos vulnerables para expandir la botnet.
Se estima que millones de dispositivos IoT sin protección permanecen conectados a Internet y a redes corporativas internas, incluyendo cámaras, routers e intercomunicadores. Estos dispositivos son componentes claves en la proliferación de botnets masivas, que impulsaron un incremento del 94% en ataques DDoS durante diciembre de 2024. La alta automatización para la detección de vulnerabilidades hace que los ataques sean constantes y en expansión.
El sector tecnológico es uno de los más afectados, con 7 billones de ataques registrados el año pasado según el Informe sobre el estado de Internet de Akamai. La utilización de dispositivos comprometidos integrados en infraestructuras corporativas dificulta la identificación de los responsables y la implementación de defensas basadas únicamente en intervención humana.
Desde el punto de vista empresarial, los dispositivos infectados representan riesgos severos. La infiltración permite monitorear o manipular las cámaras, lo que vulnera la privacidad de los usuarios y convierte estos equipos en puntos de acceso a redes internas, facilitando ataques secundarios como ransomware o fugas de información que generan pérdidas económicas significativas.
La operación silenciosa de los ataques dificulta su detección, ya que los dispositivos pueden continuar operando normalmente mientras ejecutan comandos maliciosos en segundo plano, aumentando el riesgo de daños a la reputación corporativa.
Recomendaciones
Actualizar dispositivos: Dado que las actualizaciones y soporte para cámaras GeoVision afectadas han sido discontinuados, se recomienda desconectar y reemplazar estos dispositivos con modelos actuales que cuenten con soporte activo y actualizaciones de seguridad.
Microsegmentación: Dividir la infraestructura digital en segmentos aislados impide la propagación lateral de ataques dentro de la red. Así, aunque un dispositivo sea comprometido, el acceso a sistemas críticos queda restringido, ayudando a contener incidentes y proteger activos sensibles.
La continuidad de ataques dirigidos a dispositivos IoT vulnerables resalta la importancia de mantener actualizados los sistemas y contar con estrategias robustas de defensa de red interna para proteger la operación y evitar daños operativos y financieros.
