Sucedió en Estados Unidos y, de nuevo, volvió el fantasma: ¿Nos espían los ciberdelincuentes a través de los dispositivos de vigilancia conectados a internet? ¿Son las cámaras IP un elemento de entrada a personas malintencionadas? La madeja se agranda más con los continuos casos que se dan a conocer.
Nada más entrar el año otro escándalo: usuarios que integraron cámaras de la firma china Xiaomi a través del servicio doméstico Google Home pudieron acceder a la transmisión de otras cámaras de manera aleatoria. Fue más leña a un fuego que ya de por sí está bastante caliente.
Parte de esta situación se debe a la facilidad con la que ciberdelincuentes descubren las contraseñas de estos aparatos, que generalmente vienen predeterminadas y los consumidores no las cambian, sea por desconocimiento o ignorancia. Una advertencia del Centro Nacional de Seguridad Cibernética (NCSC) de Reino Unido ha recomendado esta semana a los compradores de estos equipos que modifiquen la configuración después de comprarlos. Esas contraseñas predeterminadas son «fáciles de adivinar» y podrían permitir que un pirata informático observe sin ser detectado un hogar a través de dispositivos conectados.
El director técnico del NCSC, Ian Levy, advirtió en un comunicado que a pesar de que los dispositivos de videovigilancia son «fantásticas innovaciones» pueden presentar vulnerabilidades que sean aprovechadas por los ciberdelincuentes. Esta advertencia se suma a la creciente preocupación de los potenciales peligros que plantea el «Internet de las cosas». Solo hace falta recordar la alarma que se generó en 2014 cuando se descubrió que una página web de procedencia rusa recogía miles de vídeos en «streaming» procedentes de cámaras domésticas, algunas de las cuales provenían incluso de España.
Esta situación se ha producido con distintas marcas y equipos como Ring, propiedad de Amazon, pero ahora empresa de seguridad informática Bitdefender ha descubierto una brecha de seguridad en las cámaras de videovigilancia para bebés iBaby Monitor M6S, que daría acceso a los ciberdelincuentes tanto a las imágenes grabadas por el dispositivo como a los datos privados de los usuarios. «Las vulnerabilidades que hemos encontrado en las cámaras iBaby permiten que puedan conseguir las imágenes de la cámara y datos privados de sus propietarios, como nombre, ubicación, foto de perfil y dirección de correo electrónico», afirma en un comunicado Alexandru Balan, experto en amenazas digitales en la empresa.
Los riesgos encontrados en esta cámara, aseguran los expertos, vienen asociados a su conexión a Internet, necesaria para su funcionamiento. Uno de los fallos de seguridad permite a los piratas informáticos acceder a los archivos almacenados por la cámara en la nube de Amazon Web Services. Los expertos añaden que la cámara utiliza una clave secreta y una contraseña ID de acceso, pero para los ciberdelincuentes «resulta muy sencillo conseguir estas claves» a través de otras cámaras conectadas al mismo servicio de almacenamiento de datos, ya que el fabricante no ha configurado correctamente este servicio en la nube de AWS, lo que hace que las claves resulten predecibles y fácilmente descifrables.
«Esta vulnerabilidad permite también fugas de información a través del servicio MQTT, que se encarga de controlar el acceso remoto a las cámaras. Si un ciberdelincuente rastrea el servidor MQTT cuando un usuario está configurando su cámara, es posible que pueda filtrarse la información introducida por el usuario, facilitando el control del dispositivo», sostienen las mismas fuentes.