Nuevo caso de invasión de la privacidad usando una cámara IP

La proliferación de dispositivos conectados como las cámaras IP en entornos domésticos es algo que ya no nos sorprende. Los usuarios siguen adquiriéndolos, a pesar de que se siguen observando de forma periódica casos de invasión de la privacidad en los que estos dispositivos están directamente implicados. El más reciente, implicando a una menor y un delincuente queriéndose hacer pasar por Santa Claus.

Asustando a una niña de 8 años

Hace unos días conocíamos la noticia de que un desconocido había conseguido hacerse con el control de una cámara IP instalada en el dormitorio de tres hermanas en DeSoto County, Mississippi, Estados Unidos. Al parecer, el delincuente empezó a reproducir una canción popular usando el altavoz que incorpora ese modelo de cámara, llamando la atención de una de las hermanas, de tan solo 8 años.

Asustada por este hecho, la niña preguntó quien se encontraba allí, a lo que el delincuente contentó que era su mejor amigo, Santa Claus. La reacción de la niña no se hizo esperar y fue a buscar a su padre que se encontraba en la casa y que procedió a desactivar la cámara. Tras revisar el vídeo almacenado por este dispositivo, la familia ha decidido devolver este dispositivo.

Al parecer, la cámara fue adquirirda recientemente durante el Black Friday y la madre de la menor asegura haberse informado previamente antes de adquirira, asegurándose de que esta fuera segura. Además, la posibilidad de controlarla remotamente usando un smartphone y poder hablar con sus hijas mientras se encontraba fuera de casa trabajando fueron puntos decisivos a la hora de adquirirla.

Fallo a la hora de proteger el acceso  

A pesar de que llevamos ya bastantes años alertando de los problemas relacionados con este tipo de cámaras conectadas, lo cierto es que el número de estos incidentes no ha dejado de crecer. Estamos ente un problema que suele tener dos vertientes, ya sea por una mala implementación de la seguridad en los dispositivos o por una mala gestión de estos por parte de los usuarios.

En esta ocasión parece que el delincuente pudo tomar el control de la cámara porque sus propietarios no activaron una medida de seguridad tan sencilla como efectiva como es el doble factor de autenticación. No hay indicios de que se usase algún tipo de vulnerabilidad para acceder al dispositivo más allá de realizar un ataque de fuerza bruta para averiguar las contraseñas que estaban establecidas en la cámara.

El problema,  tal y como indican desde Vice,  es que existen aplicaciones usadas por delincuentes para tratar de averiguar las contraseñas establecidas realizando muchos intentos seguidos en poco tiempo. En el caso de que se hubiese configurado un doble factor de autenticación, se solicitaría un código de un solo uso, generado normalmente en el smartphone del propietario de la cámara e impidiendo el acceso no autorizado en la mayoría de ocasiones.

Conclusión

Casos como el que acabamos de ver demuestran que no siempre es una buena idea instalar un dispositivo que puede afectar seriamente a nuestra privacidad si no sabemos o no queremos dedicarle tiempo para protegerlo, aunque muchas veces son los propios fabricantes quienes ponen en peligro la privacidad de sus usuarios al no implementar medidas de seguridad y actualizaciones que eviten este tipo de situaciones.

Josep Albors

El troyano Emotet también realiza su particular “campaña navideña”