Los ciberdelincuentes siempre buscan nuevas formas de infiltrarse en redes empresariales, y lo último que imaginarías es que una cámara web pudiera convertirse en una herramienta para lanzar un ataque de ransomware.
Pues eso es exactamente lo que pasó. Investigadores de ciberseguridad descubrieron que la banda de ransomware Akira utilizó una cámara web no segura para cifrar la red de una víctima, evitando la detección de la solución Endpoint Detection and Response (EDR). Lo más curioso es que este no fue su primer intento: primero trataron de desplegar el ransomware en sistemas Windows, pero el EDR bloqueó el cifrador. Entonces, en lugar de rendirse, los atacantes encontraron un punto débil inesperado y lo usaron a su favor.
El Ataque poco Convencional de Akira: De Acceso remoto a una Cámara Web
Los ciberdelincuentes detrás del ransomware Akira han demostrado que, cuando un camino se bloquea, simplemente buscan otro. Su ataque comenzó de una manera bastante común: lograron acceder a la red de su víctima explotando una solución de acceso remoto expuesta, probablemente con credenciales robadas o mediante fuerza bruta.
Una vez dentro, hicieron lo que cualquier atacante experimentado haría: instalaron AnyDesk, una herramienta legítima de acceso remoto, y comenzaron a robar datos. Esto no solo les daba más control sobre la red, sino que también les proporcionaba información valiosa para su ataque de doble extorsión, donde amenazan con filtrar datos robados si la víctima no paga.
Pero ahí no terminó todo. Para moverse por la red y comprometer más sistemas, usaron el Protocolo de Escritorio Remoto (RDP), asegurándose de expandir su presencia antes de lanzar la carga útil del ransomware. El plan era sencillo: descargar un archivo ZIP protegido por contraseña (win.zip) con el ransomware dentro (win.exe), ejecutarlo y cifrar todo.
El problema (para ellos) fue que la solución de seguridad EDR de la víctima detectó la amenaza y bloqueó el intento. En lugar de rendirse, los atacantes cambiaron de estrategia y comenzaron a escanear la red en busca de otros dispositivos vulnerables que pudieran usar para completar su ataque. Fue entonces cuando encontraron algo inesperado: una cámara web y un escáner de huellas dactilares.
De los dos, optaron por la cámara web porque tenía dos grandes ventajas: permitía acceso remoto sin restricciones y su sistema operativo, basado en Linux, era compatible con su cifrador. Además, al no tener protección EDR, era el dispositivo perfecto para cifrar archivos en recursos compartidos de la red sin levantar sospechas.
Lo que comenzó como un ataque frustrado terminó convirtiéndose en un hackeo exitoso gracias a una simple cámara web mal protegida. Un claro recordatorio de que los puntos débiles en la seguridad pueden estar donde menos los esperas.
Descripción general de los pasos de ataque de Akira
Los investigadores confirmaron que los atacantes usaron el sistema operativo Linux de la cámara web para acceder a los recursos compartidos de red de Windows en otros dispositivos de la empresa. Luego, ejecutaron el cifrador de Linux directamente desde la cámara y lo usaron para cifrar archivos a través de SMB (Server Message Block), evitando por completo el software EDR que protegía el resto de la red.
El problema es que, al tratarse de una cámara web, nadie estaba monitoreando su actividad. El equipo de seguridad no se dio cuenta del aumento de tráfico malicioso en la red, algo que normalmente habría encendido las alarmas si hubiera ocurrido desde una computadora o un servidor. Como resultado, Akira pudo cifrar archivos en toda la red sin ser detectado.
Lo más frustrante de todo es que había parches disponibles para corregir las vulnerabilidades de la cámara, lo que significa que este ataque (al menos de esta forma) pudo haberse evitado. La seguridad de una red es tan fuerte como su eslabón más débil, y en este caso, ese eslabón fue una simple cámara web.
Conclusión: No subestimes los dispositivos IoT en tu estrategia de seguridad
El ataque de ransomware Akira a través de una cámara web es una prueba más de que la seguridad de una red no se trata solo de proteger computadoras y servidores. Los dispositivos IoT mal asegurados son puertas traseras perfectas para los ciberdelincuentes, y muchas empresas ni siquiera los tienen en su radar.
Para reducir estos riesgos, es clave adoptar una estrategia de ciberseguridad más completa que vaya más allá del EDR y considere soluciones como el XDR (Extended Detection and Response). A diferencia del EDR, que se enfoca solo en endpoints como computadoras y servidores, el XDR amplía la visibilidad y detección a toda la infraestructura, incluyendo redes, correos electrónicos y dispositivos IoT. Esto permite detectar movimientos sospechosos incluso en equipos que antes pasaban desapercibidos, como cámaras web o impresoras conectadas. Además, hay medidas esenciales que no pueden faltar:
✅ Segmentar la red para aislar dispositivos IoT de sistemas críticos.
✅ Actualizar el firmware de todos los dispositivos para evitar vulnerabilidades explotables.
✅ Monitorear el tráfico de red en busca de comportamientos anómalos.
Los ataques de ransomware no van a detenerse, pero la buena noticia es que con las herramientas y estrategias adecuadas, podemos adelantarnos a los ciberdelincuentes. La diferencia entre ser víctima de un ataque o evitarlo muchas veces está en los detalles.
