Cualquier persona con conexión a Internet puede acceder a 15,000 cámaras web en todo el mundo
Muchos productos se ponen en el mercado con la idea de mejorar la seguridad de las personas, y siempre es triste ver cuándo uno de ellos tiene exactamente el efecto contrario. Desafortunadamente, este no es un fenómeno tan raro. Recientemente, por ejemplo, Avishai Efrat, un investigador de seguridad que trabaja para WizCase, logró descubrir más de 15,000 cámaras web privadas que eran accesibles para cualquier persona con conexión a Internet.
Primero debemos mencionar que no estamos hablando de la cámara web incorporada en su computadora portátil o la que conecta al puerto USB y la conecta a la parte superior de su monitor. Estamos hablando del tipo de cámara que las personas instalan en edificios privados y públicos para garantizar una mayor seguridad.
Ya no necesita un guardia de seguridad local para manejar estas cámaras. En este momento, la mayoría de ellos se pueden administrar de forma remota a través de un navegador o mediante una aplicación móvil. La cuestión es que, idealmente, solo sus propietarios deberían tener acceso a ellos, y desafortunadamente, este no es siempre el caso.
Table of Contents
Cómo los hackers acceden a tu cámara web
Las cámaras de seguridad IoT se pueden administrar de forma remota a través de uno de los dos protocolos: reenvío de puertos o P2P (también conocido como punto a punto). El reenvío de puertos generalmente se considera la opción menos segura, aunque los fabricantes continúan usándolo. Con él, conectarse a su cámara web es tan fácil como abrir un navegador web e ingresar la dirección IP pública de su enrutador, así como el puerto que usa su cámara en la barra de direcciones.
En este punto, la cámara web debe requerir autenticación para garantizar que solo las personas autorizadas puedan ver la imagen, pero según WizCase, este no es siempre el caso. Además, las cámaras web que requieren un nombre de usuario y contraseña a menudo se quedan con las credenciales predeterminadas. Esto es un problema porque gracias a los motores de búsqueda como shodan.io , los hackers conocen la marca y el modelo de la cámara web a la que se están conectando. Y si conocen la marca y el modelo, las credenciales predeterminadas están a solo una consulta de Google.
P2P es el protocolo preferido de elección, especialmente si la conexión debe hacerse a través de una aplicación móvil. Se considera más seguro y más fácil de implementar, pero tiene su propio conjunto de problemas. Los proveedores se esfuerzan por hacer que las cámaras web sean lo más fáciles de configurar posible y, como resultado, pasan por alto algunas prácticas de seguridad básicas de manera intencional o no. Los investigadores de WizCase dicen que en algunos casos, la comunicación P2P también podría dejar puertos abiertos a Internet sin autenticación, y los hackers pueden explotarlos fácilmente.
¿Qué sucede si tu cámara web es pirateada?
El investigador de WizCase logró encontrar una gran cantidad de cámaras vulnerables de fabricantes como Axis, Cisco Linksys, Mobotix y otros. No es sorprendente que la mayoría de los dispositivos se ubicaran en países grandes como Estados Unidos, Rusia, Brasil, Canadá y el Reino Unido, y se instalaron en una variedad de lugares.
La cantidad de daño que se puede hacer una vez que un pirata informático compromete una cámara depende del nivel de acceso que se obtenga. En algunos casos, los atacantes pueden tomar el control total del dispositivo, apuntarlo en una dirección diferente, apagarlo o incluso alterar el metraje que está transmitiendo. Si obtienen acceso al sistema operativo subyacente de la cámara, también pueden reclutarlo en una gran red de bots y usarlo para cryptojacking o lanzar ataques DDoS .
Desde el punto de vista de la privacidad, la gravedad del problema está determinada por la ubicación de la cámara comprometida. Los dispositivos instalados en lugares públicos como estacionamientos, tiendas y vestíbulos de hoteles probablemente no deberían causar demasiados problemas. Los que las personas instalan en sus hogares, sin embargo, graban imágenes que son mucho más sensibles, y los propietarios de cámaras web definitivamente no quieren que otras personas lo vean. Los investigadores de WizCase lograron llegar a las cámaras que grababan a los niños mientras estaban solos en casa, lo que significa que las personas deben comenzar a proteger sus dispositivos con carácter prioritario.
¿Cómo asegurar tu cámara web?
Desafortunadamente, debido a que diferentes fabricantes tienen diferentes diseños, es difícil armar una lista de tareas que garantice resolver sus problemas. Lo que esto significa es que depende de usted investigar un poco y ver cómo funciona su cámara y qué tan segura es.
Consulte su documentación para ver qué protocolo de comunicación utiliza. Asegúrese de que la cámara web requiera autenticación cada vez que alguien intente acceder a ella, y si aún no lo ha hecho, asegúrese de haber cambiado las credenciales de inicio de sesión predeterminadas del dispositivo.
También se pueden hacer modificaciones a nivel de red. Poner la cámara en una VPN local debería garantizar que solo los dispositivos en esa VPN puedan acceder a ella, y la lista blanca de direcciones IP y MAC también debería ayudar a mantenerla alejada de miradas indiscretas.
Estas soluciones pueden sonar demasiado complicadas, especialmente para los menos expertos en tecnología entre ustedes. A veces, sin embargo, implementarlas es más fácil de lo que parece al principio, por lo que investigar las opciones definitivamente vale la pena. Después de todo, es por su seguridad y privacidad.
