En los últimos meses hemos visto cómo actores maliciosos vuelven a aprovechar dispositivos domésticos y de pequeña empresa para construir redes de bots con capacidad de lanzar ataques masivos. Según investigaciones de firmas de seguridad como Fortinet FortiGuard Labs y Palo Alto Networks Unit 42, se están explotando fallos en grabadores de vídeo digital (DVR) de TBK y en routers Wi‑Fi de TP‑Link que ya han llegado al final de su soporte para desplegar variantes de Mirai y herramientas afines.
En el caso de los dispositivos TBK DVR, los analistas identificaron la explotación de la vulnerabilidad referida como CVE‑2024‑3721. Los atacantes usan ese fallo para ejecutar un pequeño script descargador que, según la arquitectura del Linux del equipo comprometido, instala una variante de Mirai bautizada por los investigadores como “Nexcorium”. El proceso es simple pero efectivo: la cadena de infección detecta la arquitectura, baja el binario apropiado y lo arranca; poco después el dispositivo infectado muestra un mensaje de control —“nexuscorp has taken control”— que confirma la persistencia del actor en el equipo.
Nexcorium no es un juguete: comparte componentes típicos de las familias modernas de botnets IoT, explican los técnicos. Entre sus características figura la inicialización de una tabla de configuración codificada por XOR, un módulo watchdog para asegurarse de que el malware siga vivo, y varios módulos orientados a ataques DDoS. Además incorpora exploits conocidos —por ejemplo, intenta aprovechar CVE‑2017‑17215 para comprometer routers Huawei HG532 que puedan estar en la misma red— y dispone de una lista de credenciales integradas que utiliza en ataques de fuerza bruta contra servicios Telnet abiertos.
Si un intento de Telnet tiene éxito, Nexcorium trata de obtener un shell, implantar mecanismos de persistencia mediante crontab o un servicio systemd y conectarse a un servidor de comando y control para recibir instrucciones de ataque (UDP, TCP o incluso SMTP). Para dificultar el análisis forense, una vez que logra dejar un mecanismo persistente borra el binario original descargado del equipo.
La descripción técnica y los indicadores de compromiso sobre esta campaña pueden consultarse en los análisis de los investigadores; Fortinet documenta estos comportamientos en su espacio de investigación y Palo Alto Networks ofrece contexto adicional sobre la actividad de explotación automatizada que observa en la red. Para quienes quieran profundizar, los portales de los fabricantes y grupos de respuesta publican informes que ayudan a entender la evolución de estas amenazas: Fortinet publica investigación técnica sobre amenazas en su blog FortiGuard Labs y Unit 42 de Palo Alto Networks mantiene entradas sobre análisis de malware y campañas IoT en su blog.
Paralelamente, Unit 42 detectó escaneos activos dirigidos a una vulnerabilidad de los routers TP‑Link catalogada como CVE‑2023‑33538. Estos dispositivos ya están fuera del ciclo de soporte, y aunque los intentos observados por los investigadores estaban mal construidos y no llegaban a ejecutar código, el defecto subyacente es real; por eso CISA incluyó la entrada en su catálogo de vulnerabilidades explotadas en la naturaleza. La lista de modelos afectados incluye versiones concretas de TL‑WR940N, TL‑WR740N y TL‑WR841N, que aún son comunes en redes domésticas y pequeñas oficinas y por tanto constituyen un blanco fácil para campañas automatizadas.
El problema no es solo la existencia de fallos, sino la combinación con credenciales por defecto y equipos que ya no reciben parches. Cuando un router deja de actualizarse y sigue con contraseñas de fábrica, una vulnerabilidad que requeriría autenticación puede transformarse en una puerta de entrada crítica en manos de atacantes decididos. Unit 42 advierte además que las muestras que han rastreado incluyen capacidades para actualizarse a sí mismas y para presentarse como servidores web que propagan la infección a dispositivos que se conecten a ellos.
Para quienes gestionan redes domésticas o pequeñas infraestructuras, las recomendaciones prácticas no son novedosas pero sí cruciales: sustituir equipos sin soporte por modelos actualizados, cambiar las credenciales por defecto, desactivar servicios innecesarios como Telnet y segmentar la red para aislar cámaras, grabadores y otros IoT del resto de dispositivos. CISA mantiene un catálogo público con vulnerabilidades explotadas en el mundo real y recomendaciones que es útil revisar, disponible en su sitio. También conviene consultar las descripciones de las vulnerabilidades en el repositorio nacional para conocer el impacto técnico, por ejemplo las entradas de NVD para CVE‑2017‑17215 y CVE‑2023‑33538 en NVD CVE-2017-17215 y NVD CVE-2023-33538.
Que vuelvan a aparecer Mirai y sus derivadas no es una sorpresa: estas familias siguen siendo preferidas por operadores de botnets por su simplicidad, su bajo coste y la gran cantidad de dispositivos expuestos con configuraciones por defecto. Investigaciones recientes de terceros, incluidos informes sobre servicios de “loader‑as‑a‑service” que distribuyen cargas como Mirai, muestran además que existe un ecosistema criminal bien desarrollado que facilita estas infecciones a grupos con distintos niveles de habilidad. Para entender estos modelos de abuso, informes de empresas como CloudSEK ofrecen contexto sobre cómo se monetizan y distribuyen estas herramientas; su blog es una buena lectura introductoria en CloudSEK Research.
La lección es clara: la seguridad de la red empieza por el perímetro más débil —a menudo un router o una cámara sin parchear— y pasa por medidas básicas pero efectivas. Mantener el firmware actualizado cuando sea posible, reemplazar equipos EoL, eliminar cuentas y contraseñas por defecto y monitorizar conexiones inusuales son pasos que reducen dramáticamente el riesgo de terminar formando parte de una botnet que, al final, puede afectar tanto a la privacidad como a la disponibilidad de servicios en Internet.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...