Durante 2024, se registraron 185,111 ciberataques a dispositivos del Internet de las Cosas (IoT) en México, en un contexto global donde se documentaron 1,700 millones de ataques de este tipo.
Las amenazas provinieron de 858,520 dispositivos comprometidos, según el análisis de infraestructura global de ataques IoT. Entre las principales amenazas detectadas figura una nueva variante del botnet Mirai, dirigida principalmente a grabadoras de video digitales (DVRs).
El botnet Mirai, cuya arquitectura ha sido reutilizada y adaptada por múltiples actores maliciosos desde la divulgación de su código fuente, mantiene una actividad elevada en la explotación de dispositivos IoT con sistemas operativos basados en Linux.
En esta ocasión, los ataques se concentraron en equipos DVR, comúnmente empleados en soluciones de videovigilancia para hogares, industrias, instituciones educativas, aeropuertos y comercios. La infección de estos dispositivos no solo compromete la seguridad y privacidad local, sino que permite el acceso lateral a redes más amplias y facilita ataques de denegación de servicio distribuido (DDoS).
Las variantes recientes de Mirai incluyen técnicas avanzadas de evasión, específicamente diseñadas para eludir mecanismos de análisis en entornos virtualizados o emulados. Estas técnicas reducen la probabilidad de detección durante investigaciones de seguridad, aumentando el tiempo de permanencia del malware en los dispositivos comprometidos.
El análisis de tráfico malicioso fue realizado mediante honeypots, sistemas trampa diseñados para simular dispositivos vulnerables y monitorear en tiempo real la actividad de actores maliciosos. A partir de esta metodología, se identificó que los atacantes aprovechan vulnerabilidades conocidas en dispositivos IoT sin parches para desplegar bots que se integran a botnets activas.
A nivel global, los países con mayor número de dispositivos infectados fueron Brasil, China, Egipto, India, Turquía y Rusia. En paralelo, el análisis de fuentes públicas reveló más de 50,000 dispositivos DVR expuestos a internet sin mecanismos de protección, lo que amplía significativamente la superficie de ataque para redes automatizadas de bots.
