Qué bonita y qué barata esa cámara de videovigilancia que has comprado online. Qué fácil de instalar. Tanto que cuando buscas cómo poder ver lo que graba desde fuera de casa, no tienes que hacer nada: la cámara ya lo hace todo y puedes ver las imágenes desde cualquier móvil con conexión 4G o 5G.
Hasta aquí todo parece un estupendo regalo de la tecnología que nos rodea, pero es que esa magia que hace que todo funcione como uno esperaría sin hacer (casi) nada tiene mucho peligro: se ha descubierto que millones de estas cámaras son fáciles de hackear.
No tener que configurar nada puede ser síntoma de que algo no está bien
Lo confirmaba en Twitter Sergio López (@slpnix), ingeniero de software en Red Hat. El problema ya era conocido, pero Sergio contaba cómo tras comprar una cámara de seguridad descubrió que nada más conectar la cámara a la red doméstica descubrió que sin hacer nada era posible ver lo que emitía desde una conexión externa, como la red 4G de su móvil.
La semana pasada compré esta cámara de seguridad en Amazon y, al contectarla a la red, me llevé una desagradable sorpresa. 🧵👇 pic.twitter.com/8TRDNskC20
— Sergio López (@slpnix) October 4, 2021
Eso parece a priori fantástico para usuarios con un perfil menos técnico y que prefieran evitarse las complicaciones de ese tipo de configuración, que normalmente hace necesario configurar ciertos ajustes en el router que usamos para "dejar pasar" las imágenes a redes externas.
Sin embargo, que esta cámara permita algo así de buenas a primeras es tan peligroso como cómodo. El problema es que para que estas cámaras funcionen así desde el primer momento hacen uso de conexiones a gigantescas redes P2P.
Como explicaba hace años el experto en seguridad Brian Krebs, estas redes suelen estar gestionadas por grandes conglomerados de empresas chinas. Otro experto llamado Paul Marrapese también daba datos más recientes sobre este problema de seguridad que afecta al menos a 3,7 millones de dispositivos.
Como explicaba Marrapese —su charla al respecto en DEF CON se puede ver en YouTube—, es difícil identificar los dispositivos afectados porque hay cientos de marcas que fabrican estas cámaras, pero si eres capaz de acceder a las imágenes de tus cámaras de videovigilancia sin haber tocado nada en tu router o la configuración del cortafuegos, probablemente esa cámara esté haciendo uso de P2P.
Estas redes permiten que podamos ver esas imágenes de las cámaras de videovigilancia a través de un UID, un identificador especial con el que se hace innecesario configurar redirecciones de puertos o DNS dinámicas, pasos habituales a la hora de dar "salida" a dispositivos de red que tenemos en casa, como por ejemplo un NAS.
Las vulnerabilidades de seguridad que afectan a estos dispositivos permiten que por ejemplo un atacante pueda lograr ver esas imágenes sin que te enteres, y eso aun incluso si los fabricantes afirman que las transmisiones están cifradas. Marrapese destacaba que un ciberatacante podría explotar otras vulnerabilidades a través de estas iniciales y tomar control completo de estos dispositivos o de equipos de nuestra red.
Hay formas de intentar solucionar este problema: la primera opción, indica Marrapese, sería comprar este tipo de dispositivos de fabricantes más reputados. La segunda, bloquear el tráfico saliente dle puerto UDP 32100, algo que evitará el acceso a las cámaras desde el exterior (algo que ciertamente es parte importante de su atractivo para vigilar la casa o cualquier otra localización estemos donde estemos) aunque sigan funcionando en la red local.
Ver 6 comentarios