Qualys, Inc., proveedor de soluciones de TI, seguridad y cumplimiento basadas en la nube, ha hecho público un comunicado en el que alerta sobre un incremento significativo en los ataques automatizados dirigidos a servidores PHP y dispositivos IoT durante 2025.

A través de los sistemas de telemetría de su Unidad de Investigación de Amenazas (TRU), Qualys ha detectado un crecimiento sostenido de campañas lanzadas por botnets como Mirai, Gafgyt o Mozi, que aprovechan vulnerabilidades conocidas y configuraciones incorrectas para comprometer sistemas expuestos a Internet y expandir redes de botnets.

Teniendo en cuenta que PHP impulsa más del 73% de los sitios web en todo el mundo, los analistas de Qualys concluyen que la superficie de ataque moderna es más amplia que nunca. Por ejemplo, a principios de este año,  cientos de sitios web fueron comprometidos debido a una vulnerabilidad de día cero en el CMS Craft, basado en PHP. Entre las vulnerabilidades más explotadas destacan: CVE-2017-9841 (PHPUnit RCE), que permite la ejecución remota de código; CVE-2021-3129 (Laravel Ignition), que posibilita la ejecución de código arbitrario cuando ciertas rutas permanecen expuestas; o CVE-2022-47945 (ThinkPHP), que aprovecha la sanitización incorrecta de ciertos parámetros para ejecutar archivos locales sensibles.

En paralelo, los dispositivos IoT siguen representando un eslabón débil en la seguridad. Según el informe “IoT Security Statistics 2025–26”, publicado recientemente, 2025 registrará un promedio de 820.000 ataques IoT al día, un 46% más que en 2024. Ejemplos recientes de ataques incluyen CVE-2024-3721, una vulnerabilidad crítica en los grabadores TBK, muy utilizados en sistemas de videovigilancia. Variantes de la botnet Mirai explotaron activamente esta debilidad a lo largo del año, conectando miles de grabadores en campañas automatizadas para lanzar ataques DDoS o propagar nuevo malware.

Otro caso destacado es CVE-2017-17105, que afecta a los grabadores MVPower, también muy empleados en videovigilancia tanto doméstica como industrial, y que suelen mantenerse con contraseñas predeterminadas o firmware obsoleto, con una “puerta trasera” que permite ejecutar comandos sin credenciales. Según Qualys, “la falta de mantenimiento y la rápida expansión de estos equipos conectados convierten a IoT, y especialmente a la videovigilancia, en uno de los vectores más explotados por las botnets actuales.

Cinco recomendaciones clave

A fin de mitigar el riesgo y reducir la exposición frente a este tipo de amenazas, los expertos de Qualys recomiendan adoptar un enfoque proactivo basado en la actualización constante, destacando cinco buenas prácticas para reducir el riesgo de explotación:

• Aplicar rigurosamente actualizaciones y parches, con análisis periódicos de todas las dependencias de software, bibliotecas y marcos de desarrollo, así como la supervisión de los canales de los proveedores para conocer las últimas CVE.
• Deshabilitar las herramientas de depuración de los entornos de producción. Muchas vulnerabilidades existen porque los componentes de desarrollo y depuración se despliegan en producción. La recomendación es deshabilitarlos por defecto en estos entornos.
• Proteger los archivos más sensibles y confidenciales con protección automatizada, así como la implementación de soluciones de monitorización continua, telemetría centralizada y gestión inteligente de vulnerabilidades para responder antes de sean explotadas.
• Reforzar la exposición de la red para permitir únicamente el acceso a las IP necesarias para acceder a la infraestructura cloud, con políticas de restricción para el acceso público a puertos de depuración, shells de dispositivos IoT y rutas internas de archivos.
• Asegurar el acceso y los controles en la nube con soluciones como firewalls WAF (Web Application Firewall) para restringir el acceso a través de puertos y direcciones IP detectando y bloqueando solicitudes sospechosas o tráfico anómalo.