Webcams vulnerables

Seguridad informática en el Internet de las Cosas

Cada vez más dispositivos están conectados a Internet. Particulares y empresas han ido adoptando medidas que les permiten mejorar y proteger la seguridad de sus instalaciones a través de la instalación de cámaras de vigilancia. Cámaras IP y Webcams que se conectan aprovechando la tecnología y la facilidad de conexión por Wi-Fi.

Existen riesgos de seguridad que afectan a la privacidad de los usuarios y que son necesarios abordar de cara a evitar la pérdida de confianza en el uso de estos prácticos dispositivos.

Más de 25 millones de dispositivos IoT conectados en el mundo.

El Internet de las cosas está presente en la vida cotidiana de miles de usuarios. La utilización de dispositivos electrónicos en automóviles, electrodomésticos conectados, dispositivos de seguridad y objetos que miden y controlan el estado de salud o la práctica de ejercicio físico son una fuente de información que de un modo u otro se traslada a aplicaciones en la nube.

La seguridad de toda esa amalgama de dispositivos que se conectan a Internet es un asunto que suele olvidarse con facilidad. Es habitual que tras su instalación física, si es que la requiere, se dejen por defecto las opciones de configuración que los dispositivos traen de fábrica. Se omiten, con frecuencia, las recomendaciones que las empresas desarrolladoras suelen marcar en su documentación.

En cualquier organización la seguridad informática tiene que gestionarse de manera adecuada garantizando que los accesos no autorizados quedan excluidos por políticas restrictivas. Por lógica hay que capacitar a los empleados en ciertas medidas que permitan construir una metodología de seguridad basada en la utilización responsable de los dispositivos que se conecten a Internet.

Buscadores de vulnerabilidades informáticas en IoT

Ante cualquier conexión a Internet podría aplicarse el símil del pasillo con cientos de puertas por las cuales accederíamos a la información. Lo deseable es que todas esas puertas permanecieran cerradas y que para acceder deberíamos llamar a la puerta y entregar nuestra autorización para entrar. Sin embargo en Internet haya miles de routers, cámaras IP y otros dispositivos que te dejan entrar tan solo llamando a su puerta.

Los administradores de infraestructuras informáticas dotadas de cámaras IP tienen que ser extremadamente cuidadosos con la seguridad evitando dejarlas conectadas sin protección.

Existen desde hace años buscadores centrados en localizar vulnerabilidades en el Internet de las Cosas. Proyectos creados con la intención de hacer de Internet un lugar más seguro y que desde su aparición han alertado de los fallos en seguridad informática que obviamente permitirían a los cibercriminales acceder, mediante diversas técnicas, a toda esa maraña de dispositivos conectados a Internet.

Shodan y Censys, 2 motores de búsqueda vulnerabilidades IoT

 Visita el lado oscuro de Shodan.

Routers, módems, cámaras IP, webcams, teléfonos VoIP, etc., están expuestos al ataque de hackers por culpa de aplicar las claves de acceso por defecto o por el uso de certificados de seguridad desactualizados. Son en definitiva dispositivos poco confiables que permanecen conectados a Internet sin que sus propietarios sean conscientes de lo vulnerable que es su información y privacidad.

Un boot en Twitter que te vigila desde tu webcam

Es frecuente leer como a través de distintas cámaras, incluso aprovechando la cámara del teléfono móvil, cientos de usuarios denuncian imágenes robadas. Resulta muy fácil para un experto vulnerar la privacidad de cualquier red informática deficientemente configurada. Mismamente en Twitter existe un proyecto que evidencia lo sencillo que es acceder a las imágenes de cámaras de seguridad.

El proyecto @FFD8FFDB fue desarrollado por el estadounidense Dereck Arnold y muestra en su timeline de Twitter cientos de imágenes obtenidas de cámaras de red poco seguras.

Cualquier persona que disponga de una webcam es susceptible de ser espiada. De nada sirven luces LED que indican si la webcam está encendida o apagada. Si se es víctima de un hacker este puede utilizar un código malicioso que desactive la luz LED y así espiar sin ser detectados.

En el entorno profesional dedicado a la seguridad informática y el uso de la tecnología es habitual ver como cámaras de portátiles y Smartphone se “decoran” con pequeñas pegatinas que quitan cuando quieren utilizar la webcam. Es recomendable, que sea cual sea el modelo de la webcam, tenerla tapada si no va a utilizarse. Además, expertos en seguridad, recomiendan actualizar el firmware cuanto antes si se detecta alguna intromisión.

Vulnerabilidades del software

Adobe Flash Player ha sido uno de los programas informáticos multiplataforma más utilizado e instalado en ordenadores de sobremesa y portátiles. Aunque su uso está cayendo por la prevalencia del HTML 5 siguen habiendo equipos informáticos con versiones antiguas del software Adobe Flash. Usuarios que pueden ser víctimas de hackers sin escrúpulos y que sin saberlo estén tomando imágenes desde la webcam de su ordenador aprovechando una vulnerabilidad sin actualizar.

Tan solo es necesario acceder a una página web que contenga el código malicioso para que desde ese momento se produzca el acceso no autorizado a la imagen y sonido recogida por la webcam.

Las cámaras de videovigilancia por IP que no están preparadas para conectarse a una red abierta de manera segura son, y hay que decirlo, inseguras. Las vulnerabilidades encontradas en muchas cámaras que se comercializan comprometen la seguridad y privacidad de la información trasmitida por ese canal. La solución para por una correcta configuración que no utilice las credenciales por defecto que vienen preinstaladas en este tipo de hardware y el uso de sistemas de cortafuegos que limite los accesos desconocidos a la IP vinculada a una cámara de vigilancia.

Los beneficios de aplicar medidas de seguridad informática que eviten las miradas curiosas son infinitamente superiores a los costes puntuales que pueda suponer la configuración de cualquier sistema de videovigilancia.

Si necesita una configuración extra para aprovechar de manera segura las ventajas del Internet de las cosas (IoT) contacten con Aratecnia. Somos expertos informáticos y ofrecemos servicios de mantenimiento integral y seguridad informática en Aragón. Llámenos al teléfono 976 524 584 o a través del formulario de contacto.


Share this post: