AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Ataques

**Desmantelada una red de hackers que comprometió más de 120.000 cámaras IP en Corea del Sur**

admin

### 1. Introducción

En un golpe significativo contra la ciberdelincuencia y la privacidad, la Policía Nacional de Corea del Sur ha detenido a cuatro individuos acusados de hackear más de 120.000 cámaras IP domésticas y empresariales. Los atacantes, tras acceder de forma ilícita a los dispositivos, vendieron las grabaciones sustraídas a un portal web extranjero especializado en contenido para adultos. Este incidente pone de manifiesto la creciente amenaza que representan las brechas en la seguridad de dispositivos IoT y la sofisticación de los mercados ilegales de datos personales y material sensible.

### 2. Contexto del Incidente

El hackeo masivo se ha producido en un momento en el que Corea del Sur, uno de los países con mayor densidad de dispositivos conectados per cápita, afronta un incremento palpable de casos conocidos como “spycam” o cámaras espía. Si bien el país ya había endurecido su legislación en materia de privacidad y videovigilancia tras anteriores escándalos, la magnitud de este ataque pone en entredicho la efectividad de las políticas de protección actuales y subraya la urgencia de una defensa más robusta para infraestructuras IoT.

Según la investigación, los atacantes pusieron el foco en cámaras IP utilizadas tanto en domicilios particulares como en pequeñas empresas, logrando acceso persistente a los dispositivos y recopilando horas de grabaciones privadas. Posteriormente, parte del material fue comercializado a través de foros clandestinos y vendido a una web extranjera de contenido adulto, lo que eleva el impacto ético y legal del incidente.

### 3. Detalles Técnicos

#### 3.1 Vectores de Ataque y Versiones Afectadas

Las cámaras comprometidas pertenecían a múltiples fabricantes, incluyendo modelos populares de Dahua, Hikvision y fabricantes OEM locales. Los atacantes explotaron principalmente fallos de configuración por defecto, como credenciales de fábrica sin modificar y puertos expuestos (habitualmente el 554 para RTSP y el 80/8080 para HTTP/HTTPS de administración). Además, se detectaron exploits contra vulnerabilidades conocidas, como:

– **CVE-2017-7921** (Hikvision): Permite autenticación por omisión y ejecución remota de código.
– **CVE-2021-33044** (Dahua): Fuga de información a través de interfaces web no securizadas.
– **CVE-2018-9995**: Bypass de autenticación en múltiples cámaras DVR/NVR.

Algunos ataques también incluyeron el uso de herramientas automatizadas para escaneo masivo de rangos IP (Shodan, ZoomEye) y la explotación mediante frameworks como Metasploit y scripts customizados en Python para la extracción y exfiltración de flujos RTSP.

#### 3.2 Tácticas, Técnicas y Procedimientos (TTP)

Analizando los TTP según MITRE ATT&CK, se identifican las siguientes fases:

– **Initial Access (T1190, Exploit Public-Facing Application)**
– **Credential Access (T1110, Brute Force/Default Credentials)**
– **Collection (T1125, Video Capture)**
– **Exfiltration (T1041, Exfiltration Over C2 Channel)**

#### 3.3 Indicadores de Compromiso (IoC)

– Conexiones salientes a IPs asociadas con servidores VPS en Europa del Este.
– Evidencias de acceso HTTP/RTSP no autorizado en logs.
– Modificaciones de firmware y creación de cuentas administrativas espurias.

### 4. Impacto y Riesgos

El impacto de este incidente es doble: afecta gravemente a la privacidad individual y expone a las organizaciones a riesgos legales y reputacionales. Se estima que se han exfiltrado y vendido más de 10 TB de grabaciones, algunas de naturaleza extremadamente sensible. El material filtrado puede ser utilizado para extorsión, doxing o fraudes adicionales.

Desde el punto de vista empresarial, las compañías propietarias de cámaras comprometidas pueden enfrentarse a sanciones bajo la GDPR, la Ley de Protección de Información Personal de Corea del Sur, y la inminente NIS2 a nivel europeo si operan infraestructuras críticas o datos transfronterizos. El coste económico de la remediación, la pérdida de confianza de los clientes y las posibles demandas colectivas se estima en millones de dólares, según casos previos similares.

### 5. Medidas de Mitigación y Recomendaciones

Las recomendaciones inmediatas para profesionales y organizaciones incluyen:

– **Cambio inmediato de credenciales de fábrica** y establecimiento de contraseñas robustas.
– **Actualización de firmware** a la última versión disponible, priorizando modelos afectados por los CVE mencionados.
– **Segmentación de red**: ubicar dispositivos IoT en VLANs separadas y limitar el acceso externo mediante firewalls.
– **Desactivación de servicios innecesarios** (por ejemplo, UPnP, acceso remoto no autenticado).
– **Monitorización de logs** y análisis de tráfico anómalo saliente.
– **Implementación de autenticación multifactor (MFA)** en portales de administración.
– **Auditorías de seguridad periódicas** y pruebas de penetración específicas para dispositivos IoT.

### 6. Opinión de Expertos

Analistas de ciberseguridad como Kim Tae-hoon (KISA) y expertos de grupos internacionales como SANS Institute coinciden en que este incidente es representativo de la «tormenta perfecta» que suponen la proliferación de dispositivos conectados con configuraciones inseguras y la existencia de mercados negros consolidados para la venta de datos sensibles.

“La cadena de ataque muestra un nivel de automatización y profesionalización creciente en el cibercrimen orientado a IoT”, señala Tae-hoon, quien subraya la necesidad de una regulación más estricta en la fabricación y despliegue de dispositivos conectados.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, el incidente subraya la importancia de incluir los dispositivos IoT en sus políticas de gestión de riesgos y compliance, así como la obligación de realizar análisis de impacto en protección de datos (PIA/DPIA) según GDPR/NIS2. Los usuarios finales deben ser conscientes de los riesgos inherentes a la videovigilancia doméstica y exigir a los fabricantes mayores garantías de seguridad por defecto (“secure by design”).

### 8. Conclusiones

El caso de las 120.000 cámaras IP hackeadas en Corea del Sur representa una advertencia clara sobre la vulnerabilidad del ecosistema IoT y la sofisticación de las amenazas actuales. Solo una estrategia integral que combine tecnología, formación y regulación permitirá mitigar riesgos y proteger tanto a empresas como a ciudadanos frente a amenazas emergentes.

(Fuente: www.bleepingcomputer.com)