AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Ciberataque Masivo a 120.000 Cámaras IP en Corea del Sur Expone Fallos Críticos de Seguridad

admin

#### Introducción

En una de las mayores brechas de privacidad registradas en el sector de videovigilancia, más de 120.000 cámaras IP en Corea del Sur han sido comprometidas, permitiendo la grabación y posterior venta de material de carácter sexual explícito sin el consentimiento de las personas grabadas. Este incidente pone de manifiesto las graves deficiencias de seguridad presentes en muchos dispositivos IoT de videovigilancia y evidencia la urgencia de adoptar medidas robustas tanto a nivel técnico como normativo.

#### Contexto del Incidente

El ciberataque, detectado a principios de 2024, ha tenido como objetivo principal cámaras IP instaladas en hoteles, residencias privadas y espacios públicos. Según fuentes de la policía surcoreana y equipos de respuesta a incidentes (CERT), los atacantes lograron acceso persistente a los dispositivos, capturando y distribuyendo más de 800.000 horas de grabaciones ilícitas. El material se vendía a través de foros clandestinos y canales de la dark web, generando beneficios estimados en más de 1,5 millones de dólares.

Este tipo de ataque no es nuevo en Corea del Sur, un país que ya ha registrado otros escándalos de “spycam” en años anteriores. Sin embargo, la escala y la automatización del compromiso marcan un punto de inflexión en la amenaza contra la privacidad digital y la seguridad de los dispositivos conectados.

#### Detalles Técnicos

Las cámaras vulneradas pertenecían mayoritariamente a modelos de gama económica fabricados por proveedores asiáticos, muchos de los cuales no implementan procesos de desarrollo seguro ni actualizaciones automáticas. Los dispositivos afectados ejecutaban firmware desactualizado, carecían de cifrado en las transmisiones RTSP y presentaban credenciales por defecto sin cambiar, como “admin/admin” o “user/12345”.

El vector de ataque principal identificado fue el acceso remoto no autorizado a través de puertos abiertos (generalmente 554 y 8000), facilitado por la indexación masiva de dispositivos mediante motores como Shodan. Los atacantes aprovecharon varias vulnerabilidades conocidas, destacando la CVE-2017-8224 (ejecución remota de código en cámaras IP de un fabricante surcoreano), así como fallos de inyección de comandos y desbordamiento de búfer.

En cuanto a TTPs según el framework MITRE ATT&CK, los actores emplearon técnicas como la “Validación de Credenciales” (T1078), “Explotación de Servicio Remoto” (T1210) y “Captura de Vídeo” (T1125). Los Indicadores de Compromiso (IoC) incluyen logs de acceso inusuales, transferencia masiva de datos y conexiones persistentes desde direcciones IP asociadas a redes de Tor y VPN.

Se han identificado scripts de automatización escritos en Python y bash, así como módulos personalizados para Metasploit, lo que ha facilitado la industrialización del proceso de explotación y la extracción de contenidos.

#### Impacto y Riesgos

El alcance del incidente es considerable: se estima que al menos el 15% del parque total de cámaras IP en Corea del Sur estuvo expuesto. Más allá de la obvia vulneración de la intimidad, los riesgos incluyen extorsión, chantaje y el uso de imágenes para campañas de sextorsión. Empresas del sector hospitality, administradores de edificios y usuarios particulares se ven especialmente afectados, con impacto directo en reputación, cumplimiento normativo y posibles sanciones bajo la legislación local y el GDPR en caso de cámaras gestionadas por empresas europeas.

#### Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de amenazas, los expertos recomiendan las siguientes acciones:

– **Actualización inmediata de firmware** en todos los dispositivos, priorizando modelos con vulnerabilidades conocidas (CVE-2017-8224 y similares).
– **Cambio obligatorio de credenciales por defecto** e implementación de contraseñas robustas, alineadas con las recomendaciones de NIST SP 800-63B.
– **Deshabilitación del acceso remoto innecesario** y cierre de puertos abiertos (554, 8000, 8080) en firewalls y routers.
– **Segmentación de red** para aislar dispositivos IoT del resto de la infraestructura corporativa.
– **Monitorización activa** de logs y detección de patrones anómalos mediante SIEM y herramientas de análisis de tráfico.
– **Cifrado de todas las transmisiones de vídeo** mediante TLS/SSL.
– **Auditorías periódicas de seguridad** y test de intrusión (pentesting) sobre la infraestructura IoT.
– **Cumplimiento de las normativas GDPR y NIS2**, informando a las autoridades y afectados en caso de brecha de datos sensible.

#### Opinión de Expertos

Según Javier Sanz, CISO en una multinacional de seguridad, “la ausencia de actualizaciones y la exposición de puertos críticos convierten a las cámaras IP en un blanco sencillo para ataques automatizados. Es imprescindible incorporar controles de acceso y segmentación de red para minimizar el radio de impacto”. Por su parte, el analista SOC Laura García destaca: “La tendencia a industrializar el hacking de dispositivos IoT requerirá de una respuesta coordinada entre fabricantes, integradores y usuarios finales, con especial atención a la formación y concienciación”.

#### Implicaciones para Empresas y Usuarios

Las organizaciones que gestionan infraestructuras de videovigilancia deben revisar urgentemente sus políticas de seguridad y gestión de activos IoT. El incidente demuestra que el cumplimiento normativo (GDPR, NIS2) y la gestión proactiva de vulnerabilidades ya no son opcionales, sino esenciales para evitar sanciones económicas y daños reputacionales. Para los usuarios particulares, la recomendación es no confiar nunca en la configuración de fábrica y realizar auditorías básicas de seguridad de manera regular.

#### Conclusiones

El ciberataque masivo a cámaras IP en Corea del Sur subraya la vulnerabilidad estructural de los dispositivos IoT cuando se descuida la seguridad básica. La convergencia de bajos estándares de desarrollo, falta de actualizaciones y exposición a Internet crea un entorno propicio para el abuso sistemático. Sólo una combinación de medidas técnicas, normativas y de concienciación podrá reducir significativamente este tipo de amenazas emergentes.

(Fuente: www.kaspersky.com)