El equipo de inteligencia y respuesta de seguridad de Akamai Technologies descubrió que ciberdelincuentes explotaron una vulnerabilidad en cámaras de vigilancia GeoVision que ya no cuentan con soporte. La empresa identificó los ataques al detectar actividad anómala en su red global de honeypots durante abril de 2025.
El hallazgo reveló que los atacantes dirigieron su actividad a la dirección URL/DateSetting.cgi, lo que llevó a una investigación más profunda. Akamai atribuyó los intentos a dos vulnerabilidades conocidas: CVE-2024-6047 y CVE-2024-11120, ambas presentes en dispositivos GeoVision que no reciben actualizaciones.
Alex Soares, ingeniero de soluciones para socios en Latinoamérica, explicó que los ciberdelincuentes buscaban activamente en internet dispositivos GeoVision vulnerables. Para estudiar sus movimientos, Akamai configuró honeypots, es decir, servidores y dispositivos sin protección que simulan ser objetivos reales.
Akamai registró intentos exitosos de infección con virus, lo que confirmó que los actores de amenazas estaban propagando malware. El análisis identificó que el código malicioso usado era LZRD, una variante de la botnet Mirai. Esta botnet permite tomar el control de dispositivos infectados y conectarlos a un servidor remoto.
Los dispositivos comprometidos se convierten en nodos de una red oculta que puede lanzar ciberataques masivos, como los de denegación de servicio (DDoS), o buscar en internet otros dispositivos vulnerables para infectar. Así, se expanden las campañas de ataque sin intervención directa del atacante.
Akamai calculó que millones de dispositivos IoT sin protección permanecen conectados a internet y a redes internas corporativas. Entre ellos se encuentran cámaras, routers e intercomunicadores. Esta infraestructura facilitó el crecimiento del 94% en los ataques DDoS reportados en diciembre de 2024.
El nivel de automatización para identificar vulnerabilidades conocidas es elevado, por lo que cualquier equipo expuesto es un objetivo activo. Esto agrava el problema, ya que incluso dispositivos ubicados en entornos corporativos son utilizados como parte de los ataques.
Según el Informe sobre el estado de internet de Akamai, el sector tecnológico concentró 7 billones de ataques en el último año. Las redes corporativas y los equipos de los usuarios se convirtieron en las principales plataformas desde donde se ejecutan los ataques, lo que dificulta el rastreo de los responsables.
Los dispositivos infectados representan riesgos de seguridad para las empresas, ya que permiten a los atacantes monitorear cámaras, desactivarlas o intervenir su micrófono. Además, sirven como punto de acceso a redes internas donde se almacena información sensible.
Soares señaló que muchas veces los equipos siguen funcionando con aparente normalidad, lo que permite que los atacantes operen sin ser detectados. Esta situación puede causar daños a la imagen de una organización y facilitar otras intrusiones, como el uso de ransomware o robo de datos.
Akamai recomendó desconectar los modelos GeoVision sin soporte y reemplazarlos por dispositivos con actualizaciones activas. La ausencia de parches de seguridad facilita que estos equipos sean aprovechados por botnets.
También sugirió implementar microsegmentación en redes corporativas. Esta técnica aísla partes de la red para evitar que los atacantes se desplacen dentro de los sistemas, aun si logran vulnerar un dispositivo. Con esta medida, es posible contener ataques y limitar el impacto en infraestructuras críticas.
Soares advirtió que los ciberdelincuentes continúan activos y que otros dispositivos sin soporte pueden ya estar comprometidos. Propuso que los equipos de tecnología mantengan actualizaciones periódicas y se alíen con proveedores de servicios con soporte de red interna.