Facebook-f Youtube Linkedin-in Instagram

Alerta: intentos de intrusión iraníes explotan fallos en cámaras IP Hikvision y Dahua

Análisis de intentos de intrusión iraníes en cámaras IP Hikvision y Dahua y su impacto en la seguridad regional

Alerta: intentos de intrusión iraníes explotan fallos en cámaras IP Hikvision y Dahua

Compartir:

Alerta: intentos de intrusión iraníes explotan fallos en cámaras IP Hikvision y Dahua

Los intentos de intrusión iraníes en cámaras IP Hikvision y Dahua han escalado en las últimas jornadas, con “cientos” de intentos de explotación detectados por Check Point Research contra sistemas de videovigilancia expuestos a internet en Israel y otros países de Oriente Medio. La firma vincula la actividad a infraestructura atribuida a “varios threat actors con nexo en Irán” y advierte de su valor como señal temprana de reconocimiento digital que puede preceder o apoyar operaciones físicas.

Según el informe de inteligencia publicado por Check Point, el patrón observado se centra en el escaneo y explotación de vulnerabilidades conocidas en productos de dos fabricantes concretos, sin evidencia de actividad similar desde esa misma infraestructura contra otros vendors del segmento. La investigación sitúa la campaña en un contexto de tensión regional y la conecta con precedentes en los que el acceso a streams de CCTV o cámaras de calle se ha usado para vigilancia, selección de objetivos o evaluación de daños.

Qué se sabe de los intentos de intrusión iraníes en cámaras IP Hikvision y Dahua

Check Point indica que los países afectados por el escaneo y los intentos de explotación incluyen Israel, Qatar, Bahréin, Kuwait, Emiratos Árabes Unidos, Chipre y Líbano. El actor (o conjunto de actores) habría combinado commercial VPN exit nodes y servidores privados virtuales para anonimizar y distribuir el origen del tráfico, una táctica habitual para reducir atribución directa y sostener campañas de reconocimiento a escala.

La compañía remarca que el objetivo observado es consistente con el uso de cámaras comprometidas como fuente de inteligencia situacional: una cámara expuesta puede permitir vigilancia pasiva, mapeo de entornos y, en escenarios de conflicto, aportar información accionable o apoyar tareas de battle damage assessment. En paralelo, Palo Alto Networks Unit 42 también ha señalado un aumento de actividad hacktivista de alineamiento pro-ruso en la región, lo que ampliaría la superficie de ataque disponible para operaciones disruptivas.

Vulnerabilidades (CVE) explotadas en el foco de la campaña

Los intentos de intrusión iraníes en cámaras IP Hikvision y Dahua se apoyan en fallos documentados públicamente y con parches disponibles. En el caso de Hikvision, se enumeran vulnerabilidades de autenticación indebida y command injection en componentes web y plataformas asociadas; en Dahua, un authentication bypass que afecta a múltiples productos. Check Point cita, entre otras, las siguientes referencias en NVD:

  • CVE-2017-7921 (Hikvision, improper authentication)
  • CVE-2021-36260 (Hikvision, command injection en componente web)
  • CVE-2023-6895 (Hikvision, OS command injection en Intercom Broadcasting System)
  • CVE-2025-34067 (Hikvision, unauthenticated RCE en Integrated Security Management Platform)
  • CVE-2021-33044 (Dahua, authentication bypass)

El informe subraya que estas vulnerabilidades están parcheadas, lo que desplaza el riesgo hacia la realidad operativa: dispositivos sin actualizar, despliegues legacy y cámaras con acceso directo desde WAN siguen siendo un objetivo recurrente por su alto volumen, baja fricción de explotación y valor como punto de observación.

Infraestructura y atribución: VPN comerciales y VPS

La telemetría descrita por Check Point apunta a una infraestructura que mezcla nodos de salida de proveedores de VPN comerciales (mencionando Mullvad, Proton VPN, Surfshark y NordVPN) con VPS, un enfoque que facilita rotación de IP, automatización del escaneo y continuidad de la campaña incluso tras bloqueos. En la misma nota, el investigador Sergey Shykevich (Check Point Research) afirmó que, por el momento, no han observado actividad contra objetivos en Estados Unidos, aunque consideran posible una expansión en días o semanas.

Fuentes y contexto técnico

Check Point publicó el análisis como una evaluación de la interacción entre el targeting de cámaras IP y la guerra física en Oriente Medio, enfatizando que la vigilancia mediante dispositivos IoT comprometidos ha sido utilizada anteriormente como fase de reconocimiento. La persistencia de este tipo de campañas también vuelve a poner el foco en el ecosistema de videovigilancia, donde conviven firmwares heterogéneos, configuraciones expuestas por defecto y despliegues con baja visibilidad para los equipos de seguridad.

Para ampliar información con fuentes de alta autoridad, se puede consultar el reporte de Check Point Research: https://research.checkpoint.com/2026/interplay-between-iranian-targeting-of-ip-cameras-and-physical-warfare-in-the-middle-east/, así como las referencias de NVD para los CVE citados (por ejemplo, CVE-2021-36260): https://nvd.nist.gov/vuln/detail/CVE-2021-36260. A nivel de fabricantes, las páginas corporativas oficiales de Hikvision y Dahua sirven como punto de entrada a avisos y documentación de producto: https://www.hikvision.com/ y https://www.dahuasecurity.com/.

En términos de impacto, los intentos de intrusión iraníes en cámaras IP Hikvision y Dahua reflejan una tendencia consolidada: la explotación de CVE conocidos contra IoT expuesto continúa siendo una vía eficiente para obtener visibilidad del entorno, apoyar operaciones de influencia o preparar fases posteriores más disruptivas, especialmente cuando el parque instalado mantiene firmwares sin actualizar y superficies accesibles desde internet.

Compartir:

También podría interesarte

Déjanos tu comentario

Scroll al inicio