En un mundo cada vez más interconectado, la seguridad de los dispositivos IoT y plataformas de gestión digitales se ha convertido en una prioridad crítica. Recientemente, una campaña maliciosa ha llamado la atención de expertos en ciberseguridad, ya que actores amenazas han explotado vulnerabilidades en el sistema Samsung MagicINFO y en los dispositivos IoT de GeoVision para propagar el temible botnet Mirai. Esta preocupante situación pone en evidencia los riesgos que enfrentan las infraestructuras tecnológicas obsoletas y la importancia de mantener una vigilancia constante en la seguridad informática. El botnet Mirai es conocido por su capacidad para reunir dispositivos vulnerables y utilizarlos en ataques distribuidos de denegación de servicio (DDoS), que pueden paralizar sitios web, servicios en línea y grandes redes de comunicación. La infección mediante dispositivos IoT, que a menudo cuentan con configuraciones débiles o sin parches de seguridad adecuados, hace que la expansión de Mirai sea especialmente efectiva y peligrosa.
En el caso particular de GeoVision, una línea de dispositivos IoT descontinuados está siendo objetivo preferente. Investigadores de la empresa Akamai Security Intelligence and Response Team (SIRT) detectaron a comienzos de 2025 la explotación de dos fallos críticos de inyección de comandos en el sistema operativo de estos dispositivos, identificados como CVE-2024-6047 y CVE-2024-11120, ambos con una puntuación CVSS de 9.8, indicando un nivel extremo de severidad. Estos defectos permiten a atacantes ejecutar comandos arbitrarios en el sistema mediante la manipulación del parámetro szSrvIpAddr en el endpoint /DateSetting.cgi.
Mediante estos fallos, los atacantes consiguen descargar y ejecutar una versión del malware Mirai diseñada para procesadores ARM, llamada LZRD, lo que amplía el rango de dispositivos susceptibles a la infección. Este método subraya cómo la falta de actualizaciones de firmware en equipos antiguos facilita la construcción de botnets, ya que los fabricantes suelen dejar de emitir parches cuando sus productos se encuentran al final de su vida útil. Por otra parte, el sistema Samsung MagicINFO 9 Server también ha estado en la mira de atacantes. Poco después de la publicación de una prueba de concepto (PoC) elaborada por SSD Disclosure a finales de abril de 2025, se detectaron intentos activos de explotación en el entorno real. Inicialmente, se pensó que la vulnerabilidad asociada era CVE-2024-7399, un fallo de tipo path traversal con una puntuación CVSS de 8.
8 que podría permitir a usuarios no autenticados escribir archivos arbitrarios con privilegios de sistema. Sin embargo, investigaciones posteriores revelaron que el problema que realmente se está abusando corresponde a una vulnerabilidad distinta, aún sin parche disponible, que afecta incluso a la versión más reciente (21.1050.0) de MagicINFO. El ataque aprovecha la capacidad de cargar archivos JSP (JavaServer Pages) especialmente maliciosos que permiten la ejecución remota de código.
Empresas de ciberseguridad como Huntress han confirmado que incluso las versiones recientes del software son vulnerables y han observado actividad maliciosa en la naturaleza aprovechando esta falla para comprometer sistemas utilizados en la gestión de pantallas digitales y señalización. Ante esta situación, los expertos recomiendan eliminar los servicios afectados del acceso a internet público como la medida más fiable hasta que se dispongan de parches oficiales. Esta precaución es crucial para minimizar la superficie de ataque, especialmente en entornos industriales, comerciales y gubernamentales donde estos sistemas son parte fundamental de la operativa diaria. El impacto de estas vulnerabilidades trasciende el ámbito individual: al expandirse el botnet Mirai con miles de dispositivos comprometidos, los ataques DDoS que se desencadenan pueden afectar infraestructuras críticas a nivel global, interrumpiendo servicios y provocando pérdidas económicas y reputacionales considerables. Además, la reutilización de vulnerabilidades publicadas años atrás, como CVE-2018-10561 (relacionada con Hadoop YARN) y defectos recientes relacionados con DigiEver, demuestra la persistencia y capacidad evolutiva de los atacantes para aprovechar cualquier debilidad.
Un aspecto importante a considerar es la responsabilidad de los fabricantes en mantener actualizados sus dispositivos. En muchos casos, la obsolescencia tecnológica y la discontinuación del soporte técnico dejan expuestos sistemas que continúan en operación, convirtiéndose en blanco fácil para amenazas automatizadas. Por ello, expertos aconsejan sustituir equipos en desuso por modelos modernos que reciben soporte continuo, además de implementar una estrategia sólida de gestión de parches y segmentación de red para limitar el alcance de posibles compromisos. A nivel gubernamental, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha incluido las vulnerabilidades de GeoVision en su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), estableciendo un plazo para que las agencias federales apliquen parches o retiren los productos afectados antes del 28 de mayo de 2025. Esta medida busca mitigar el riesgo dentro del sector público y enviar una señal clara acerca de la amenaza inminente.
En resumen, la explotación del botnet Mirai a través de vulnerabilidades en Samsung MagicINFO y dispositivos IoT de GeoVision es un claro recordatorio del peligro que representan las tecnologías sin mantenimiento adecuado en un entorno cibernético cada vez más hostil. La recomendación principal para usuarios y organizaciones es asegurar la actualización constante de sus sistemas, migrar hacia soluciones modernas, eliminar accesos innecesarios a la red pública y mantener una vigilancia constante mediante herramientas de detección y análisis en tiempo real. El panorama actual es un llamado urgente a reforzar la seguridad de la infraestructura digital, anticipándose a las tácticas sofisticadas que emplean los ciberdelincuentes y minimizando el impacto que pueden causar mediante botnets distribuidos. La colaboración entre fabricantes, expertos en seguridad y usuarios finales será decisiva para frenar la propagación del malware y proteger el ecosistema tecnológico global.
