Durante estos días se está hablando mucho de la seguridad de las cámaras IP que algunos usuarios utilizan en sus casas o comercios como herramienta de vigilancia. Todo este revuelo viene de noticias publicadas en varios medios hablando de la web insecam.com, que muestra miles de cámaras IP de todo el mundo mostrando lo que graban a todos aquellos mirones que decidan echarles un ojo.
Hagamos un poco de memoria
No es que este tipo de noticias nos pille de sorpresa. Ya a principios de 2012 hablábamos en este mismo blog de miles de cámaras IP expuestas y en aquel entonces tampoco se trataba de una noticia de rabiosa actualidad. Si acaso, la novedad que ha proporcionado esta web, que ha estado activa durante meses y que solo ahora es conocida para el gran público, ha sido la recopilación e indexación por países, cosa que antes se hacía de forma manual probando direcciones IP filtradas en webs como Pastebin o buscando directamente modelos específicos en Google o Shodan.
De hecho, a principios de mes, nuestra compañera Sabrina Pagnotta del blog de ESET WeLiveSecurity en español, publicó un interesante artículo donde criticaba con razón que, si bien la finalidad de esta web era la de concienciar sobre la necesidad de proteger mejor estas cámaras IP para impedir que veamos invadida nuestra privacidad, los métodos utilizados no son los más adecuados e incluso infringen las leyes de muchos países.
Millones de dispositivos inseguros
Los medios de comunicación se han centrado en las cámaras IP porque el efecto de su inseguridad es inmediato y es algo que llama poderosamente la atención pero realmente hay muchos otros dispositivos conectados a Internet que se encuentran igual o peor protegidos que las cámaras mencionadas. Smart TVs, reproductores/grabadores de video, consolas, neveras, juguetes y todos los dispositivos que conforman el conocido como Internet de las cosas tienen, en muchos casos, agujeros de seguridad que permitirían el acceso remoto de un atacante.
El caso es que cada vez disponemos de más dispositivos conectados pero se ha demostrado varias veces que las medidas de seguridad adoptadas para protegerlos no son suficientes. No se trata solo de protegerlos con un usuario y contraseña (contraseña que los usuarios no suelen cambiar), sino de aplicar protocolos de comunicación seguros entre estos dispositivos y solucionar los problemas de seguridad con actualizaciones, algo que muchos fabricantes no hacen, dejando a millones de usuarios vulnerables al estar utilizando dispositivos obsoletos.
Además, no se trata únicamente de la posibilidad de que alguien esté espiándonos sin nosotros saberlo a través de una cámara IP que tenemos en nuestra casa. Los investigadores han demostrado que, una vez toman el control de esos dispositivos los pueden usar en su beneficio incluso con objetivos que sorprenderían a la mayoría. De hecho, este verano pudimos ver una interesante presentación en la Defcon en la que varios investigadores atacaban a un modelo de cámara muy popular y conseguían modificar la señal de vídeo que capturaba, tal y como se ve en el divertido video a continuación:
Medidas a adoptar
Como usuarios, además de hacer presión a los fabricantes para que mejoren las medidas de seguridad de sus productos, podemos seguir algunos pasos:
- Conectar este tipo de cámaras solo cuando vayamos a usarlas. Igual que recomendamos tapar la cámara web de nuestro portátil o dispositivo móvil cuando no lo estemos usando, es innecesario arriesgarse a que alguien invada nuestra privacidad por el mero hecho de tener un dispositivo conectado las 24 horas del día.
- Cambiar las contraseñas que vienen por defecto. Por increíble que parezca, un buen número de estas cámaras se quedan durante toda su vida útil con la contraseña que el fabricante les asigna por defecto o, peor aún, sin ninguna contraseña. Utilizar una contraseña robusta complicará la vida a quien quiera entrar sin permiso a esa cámara IP.
- Instalar las actualizaciones disponibles. Muchas veces nos olvidamos que estos dispositivos cuentan con un sistema o firmware que los gobierna y que este sistema puede contener fallos que los fabricantes solucionan algunas veces. Es importante revisar periódicamente si hay alguna actualización disponible para nuestros dispositivos e instalarla.
Debemos tener en cuenta que cada vez son más los dispositivos que tenemos conectados a Internet, incluso aquellos impensables hasta hace poco como neveras o cafeteras. Como usuarios no podemos dejarlos desatendidos, más aun si se trata de dispositivos que afectan directamente a nuestra privacidad.