Kaspersky detectó una nueva versión del botnet Mirai, dirigida a dispositivos del Internet de las Cosas (IoT), con actividad observada a nivel global y también en México. En este país, investigadores del Equipo Global de Investigación y Análisis (GReAT) de la compañía registraron 185,111 ataques a dispositivos IoT durante 2024, un aumento que se relaciona con la actividad de distintas amenazas, incluyendo variantes recientes de Mirai.

Según la investigación de Kaspersky, se registró un total de 1,700 millones de ataques a dispositivos conectados a nivel mundial en 2024, provenientes de 858,520 dispositivos comprometidos. Estos datos abarcan diversas formas de malware dirigidas al IoT. Los países con mayor cantidad de dispositivos infectados fueron Brasil, China, Egipto, India, Turquía y Rusia.

Para entender cómo operan estos ataques a dispositivos IoT, Kaspersky utilizó trampas digitales conocidas como honeypots —dispositivos señuelos diseñados para atraer a los cibercriminales y analizar su comportamiento en tiempo real—. Gracias a estas herramientas, los investigadores descubrieron que los atacantes aprovechan fallas de seguridad para instalar un programa malicioso (bot) que convierte los dispositivos en parte de una red comprometida, conocida como botnet Mirai. Estas redes permiten a los atacantes coordinar acciones a gran escala, ya que están compuestas por equipos infectados que ejecutan actividades maliciosas de forma automatizada.

En esta ocasión, el principal objetivo de los ataques fue comprometer grabadoras de video digitales (DVRs), dispositivos clave para la seguridad y vigilancia en hogares, comercios, aeropuertos, fábricas e instituciones educativas. Atacar estos equipos no solo pone en riesgo la privacidad, sino que también puede servir como puerta de entrada a redes más amplias, facilitando la propagación de malware y permitiendo lanzar ataques de denegación de servicio distribuido (DDoS), que consisten en saturar un sistema o sitio web con tanto tráfico que deja de funcionar correctamente. Este tipo de ataques ya se ha visto en campañas anteriores relacionadas con el botnet Mirai.

El bot detectado en los DVR incluye mecanismos para evadir entornos de máquinas virtuales (VM) o emuladores, que son comúnmente usados por los investigadores para analizar malware. Estas técnicas permiten que el bot pase desapercibido, operando de manera más silenciosa y prolongando su permanencia en los dispositivos infectados.

“El código fuente del botnet Mirai fue publicado en internet hace casi una década. Desde entonces, ha sido adaptado y modificado por distintos grupos de cibercriminales para crear redes de bots a gran escala, enfocadas principalmente en ataques DDoS y secuestro de recursos”, explicó Anderson Leite, investigador de seguridad del equipo GReAT de Kaspersky.

Agregó que el uso de fallas de seguridad conocidas en servidores y dispositivos IoT sin parches, junto con la amplia presencia de este malware diseñado para sistemas Linux, hace que miles de bots estén constantemente escaneando internet en busca de nuevos objetivos. “Al analizar fuentes públicas, identificamos más de 50,000 dispositivos DVR expuestos online, lo que muestra que los atacantes tienen muchas oportunidades para explotar equipos vulnerables”, finalizó.