Hackeo de cámaras de seguridad – cómo evitar que te suceda
La instalación de una cámara de seguridad conectada a Internet en tu casa no necesariamente traerá una ola de hackers a tu red Wi-Fi. Sin embargo, la pérdida de privacidad como resultado de las deficiencias de seguridad de un dispositivo es sorprendentemente común.
El año pasado, un cliente de una reconocida empresa (ADT de cámaras de seguridad notó una dirección de correo electrónico desconocida conectada a su sistema de seguridad. El sistema de monitoreo incluía cámaras y otros dispositivos dentro de su hogar.
Ese simple descubrimiento, y su informe a la empresa, comenzaron a derribar una larga fila de fichas de dominó que conducía a un técnico que había estado espiando. El técnico realizó esas acciones durante cuatro años y medio a cientos de clientes. El los observó vivir su vida privada, desvestirse e incluso tener sexo.
ADT afirmó que eliminó las brechas de seguridad que el técnico explotó, implementando “nuevas medidas, capacitación y políticas para fortalecer … la seguridad de la cuenta y la privacidad del cliente”. Pero las invasiones de la privacidad no son exclusivas de esta empresa y algunas vulnerabilidades son más difíciles de proteger que otras.
Ya sea que estés utilizando sistemas de seguridad monitoreados profesionalmente o simplemente tengas algunas cámaras, es importante protegerte. En este artículo veremos algunas prácticas que pueden ayudar a proteger la seguridad de las cámaras y la privacidad de los datos.
¿Es vulnerable mi sistema de seguridad?
Antes de dedicarte a resolver los problemas de inseguridad de las cámaras, es útil comprender cuán vulnerables son realmente tus dispositivos.
Los principales sistemas de seguridad supervisados profesionalmente, e incluso cámaras vendidas individualmente de desarrolladores de renombre como Google, incluyen cifrado de alta gama casi en todos los ámbitos. Es decir, codifican los mensajes dentro de un sistema y otorgan acceso a través de claves. Eso significa que mientras te mantengas al día con las actualizaciones de las aplicaciones y dispositivos, no debes temer a ser hackeado a través de vulnerabilidades de software o firmware.
Asimismo, muchas empresas de seguridad que utilizan instaladores y técnicos profesionales cuentan con procedimientos estrictos para evitar precisamente lo que sucedió en ADT.
Medidas de seguridad de las empresas
Algunos sistemas monitoreados profesionalmente, abordan el problema simplemente limitando estrictamente las acciones que los técnicos pueden tomar mientras ayudan a los clientes con sus cuentas. Por ejemplo, impidiéndoles agregar direcciones de correo electrónico a las cuentas o acceder a cualquier clip grabado.
“Tenemos un equipo en Comcast dedicado específicamente a la seguridad de las cámaras”, afirmó un portavoz de Comcast. “Nuestros técnicos e instaladores no tienen acceso a los videos o grabaciones de nuestros clientes, a los que solo puede acceder un pequeño grupo de ingenieros. Ellos pueden acceder bajo condiciones monitoreadas, para situaciones como la resolución de problemas técnicos”.
Con los sistemas de bricolaje, los clientes configuran sus propios dispositivos, lo que hace que el acceso de los técnicos sea un punto discutible. Pero si los clientes optan por un monitoreo adicional, que a menudo se ofrece junto con productos individuales, eso puede complicar el problema.
Otras empresas restringen estrictamente el acceso del personal a la información del cliente. Esto impide, por ejemplo, que los técnicos vean las imágenes de las cámaras de los clientes, excepto en casos concretos en los que los permisos se obtienen del cliente. Por ejemplo, con el propósito de solucionar problemas u otros tipos de asistencia.
También las empresas dedican parte de su trabajo diario en el mantenimiento de los sistemas para que las vulnerabilidades se identifiquen de inmediato. Este enfoque implacable incluye protocolos de seguridad tanto internos como externos.
En resumen, las empresas de seguridad parecen estar utilizando conscientemente múltiples niveles de seguridad para proteger a los clientes de posibles abusos por parte de instaladores y técnicos, incluso si los procesos mediante los cuales lo hacen no son completamente transparentes. Pero incluso si son efectivos, eso no significa que tus cámaras inteligentes sean totalmente seguras.
¿Cómo pueden acceder a mis cámaras?
El caso de ADT técnicamente no requirió ningún hackeo por parte del técnico, pero ¿qué pasa si se trata de un hackeo? Después de todo, hay muchos casos de hackeos remotos. E incluso los dispositivos de calidad con altos niveles de cifrado no están necesariamente a salvo de ataques, dadas las circunstancias adecuadas.
Hay dos formas principales en que un hacker puede obtener el control de una transmisión de video: local y remotamente.
Para acceder a una cámara de forma local, un hacker debe estar dentro del alcance de la red inalámbrica a la que está conectada la cámara. Allí, necesitarían obtener acceso a la red inalámbrica utilizando varios métodos, como adivinar la contraseña de seguridad por fuerza bruta o falsificar la red inalámbrica y bloquear la real.
Dentro de una red local, algunas cámaras de seguridad más antiguas no están cifradas ni protegidas con contraseña. Esto porque la seguridad de la red inalámbrica en sí se considera a menudo un factor de disuasión suficiente para mantener a raya los atacantes. Entonces, una vez en la red, un hacker tendría que hacer poco más para tomar el control de las cámaras y potencialmente de otros dispositivos de IoT en tu casa.
Ataques remotos
Sin embargo, es poco probable que los ataques locales te afecten, ya que requieren una intención enfocada en el objetivo. Los hackeos remotos son el escenario mucho más probable, y los ejemplos surgen con bastante frecuencia en el ciclo de noticias. Algo tan común como una filtración de datos, como las de Equifax, podría poner tus credenciales de inicio de sesión en las manos equivocadas. Y, salvo cambiar tu contraseña con frecuencia, no hay mucho que puedas hacer para evitar que suceda.
Incluso si la empresa de seguridad que utilizas, supervisada profesionalmente o de otro tipo, tiene una seguridad sólida y un cifrado de extremo a extremo, si utilizas las mismas contraseñas para tus cuentas que utilizas en otros lugares de Internet y esas credenciales se ven comprometidas, tu privacidad está en riesgo.
Y si los dispositivos que utilizas están desfasados, tienen software desactualizado o simplemente son productos de fabricantes que no priorizan la seguridad, corres riesgo. Las posibilidades de que tu privacidad se vea comprometida aumentan significativamente.
Para los hackers con un poco de conocimiento, encontrar el próximo objetivo con una transmisión de video no segura es solo una búsqueda en Google de distancia. Un número sorprendente de personas y empresas configuran sistemas de cámaras de seguridad y nunca cambian el nombre de usuario y las contraseñas predeterminadas. Ciertos sitios web, como Shodan.io, muestran lo fácil que es acceder a feeds de video no seguros agregándolos y mostrándolos para que todos los vean.
Cómo saber si te han hackeado
Sería casi imposible saber si tu cámara de seguridad, o quizás, lo que es más desconcertante, el monitor para bebés, ha sido hackeado. Los ataques pueden pasar completamente desapercibidos para un ojo inexperto y la mayoría de la gente no sabría dónde empezar a observar para comprobarlo.
Una señal de alerta por alguna actividad maliciosa en una cámara de seguridad es lenta o peor que el rendimiento normal. Muchas cámaras tienen memoria limitada, y cuando los atacantes aprovechan las cámaras, los ciclos de la CPU tienen que trabajar más duro, haciendo que las operaciones normales de la cámara sean casi o totalmente inutilizables en ocasiones.
Por otra parte, un rendimiento deficiente no es solo indicativo de un ataque malicioso. Este podría tener una explicación perfectamente normal, como una mala conexión a Internet o una señal inalámbrica.
Cómo proteger tu privacidad
Si bien ningún sistema es impermeable a un ataque, algunas precauciones pueden disminuir aún más tus probabilidades de ser hackeado y proteger tu privacidad en el caso de un ataque.
- Debes utilizar cámaras de fabricantes de renombre, ya sea que formen parte de un sistema de seguridad supervisado profesionalmente o de un dispositivo de bricolaje.
- Tienes que utilizar cámaras con cifrado de extremo a extremo de alto nivel.
- Debes cambiar tus credenciales a algo que no se pueda adivinar fácilmente (en particular, evitar usar contraseñas que ya usas para otras cuentas en línea).
- Es de suma importancia actualizar el firmware de la cámara con frecuencia o siempre que sea posible.
- Y por último y no menos importante, debes utilizar la autenticación de dos factores si es posible.
Otro paso importante es simplemente evitar las condiciones para una invasión de la privacidad. Los hackeos son poco probables y se pueden evitar en gran medida, pero mantener las cámaras fuera de las habitaciones privadas y apuntarlas hacia las entradas de la casa es una buena manera de evitar los peores resultados potenciales de un hackeo.
También es importante instalar cámaras de seguridad independientes en una red propia. Si bien esto sin duda frustraría tus planes para el hogar inteligente perfecto, ayudaría a evitar un “aterrizaje y expansión”. Este es un proceso mediante el cual un atacante obtiene acceso a un dispositivo y lo usa para tomar el control de otros dispositivos conectados en la misma red.
Dando un paso más allá, puedes usar una red privada virtual, o VPN, para restringir aún más qué dispositivos pueden acceder a la red en la que se encuentran las cámaras de seguridad. También puedes registrar toda la actividad en la red y asegurarte de que no ocurra nada inusual allí.
Conclusión
Nuevamente, las posibilidades de ser víctima de un ataque como este son bastante pequeñas, especialmente si sigues las precauciones de seguridad más básicas. El uso de los pasos anteriores proporcionará múltiples capas de seguridad, lo que hará que sea cada vez más difícil para un atacante hacerse cargo.
