Hackear la cámara de vigilancia de Iglesias y Montero demuestra lo insegura que es la internet de las cosas

El pasado mes de octubre los responsables del partido político Podemos denunciaron que la cámara de videovigilancia que la Guardia Civil había instalado en la vivienda de Pablo Iglesias e Irene Montero había sido hackeada: se podían ver esas imágenes en una página web de acceso público, revelan en El País.

No se sabe con exactitud cómo se produjo la intrusión en dicha cámara de vigilancia, pero este es el último ejemplo de un problema que afecta a millones de dispositivos de la conocida internet de las cosas: la mala configuración de seguridad de estos dispositivos ha provocado enormes conflictos como el que en 2016 causó un ataque de denegación de servicio que afectó a Twitter, Spotify o GitHub por medio de la botnet Mirai.

Una intrusión que pone de relieve el problema de seguridad de estos dispositivos

En Podemos se enteraron de la intrusión a través de un correo anónimo en el que se mostraban imágenes capturadas por esa cámara que se habían filtrado a una página web de acceso público.

Estructura de la botnet Mirai. Fuente: Level3.

La cámara de vigilancia afectada se había instalado por parte de la Guardia Civil en el exterior de la vivienda de Pablo Iglesias e Irene Montero en Galapagar (Madrid). Dicha cámara estaba destinada a vigilar esa zona exterior -no se mostraba el interior de la parcela- para evitar pintadas y potenciales intrusiones, y se desconoce durante cuánto tiempo la intrusión hizo que el acceso a sus imágenes fuera público.

Tras el aviso por parte de Podemos la Guardia Civil desconectó la cámara, la revisó, aumentó las medidas de seguridad y la volvió a conectar. La cámara se retiró una vez se instaló una garita de seguridad recientemente.

En Xataka nos hemos puesto en contacto con el Ministerio del Interior, que nos ha indicado que en la investigación se detectó que los responsables de la intrusión habían operado desde Singapur, pero no se logró encontrar a esos responsables y tampoco se sabe con precisión si realmente operaban desde allí o simplemente ocultaron sus huellas y simularon que el origen del ciberataque se produjo desde ese país.

Se desconoce cuál ha sido el fallo de seguridad que ha afectado a la cámara de vigilancia comprometida, y no hemos podido confirmar si se trataba de una vulnerabilidad en su firmware o quizás una mala configuración de algo tan crítico como el usuario y contraseña por defecto de acceso a las imágenes de esta cámara web.

La internet de las cosas, expuesta

El problema con esta cámara de seguridad ha creado una gran polémica por la relevancia pública de Pablo Iglesias e Irene Montero y la cercanía de las elecciones generales en España, pero es tan solo un ejemplo de la inseguridad que rodea a muchos de los dispositivos de la internet de las cosas.

Un análisis del tráfico de paquetes en una cámara IP recién conectada muestra cómo el malware Mirai era capaz de tomar control de la misma en tan solo 98 segundos.

En octubre de 2016 se produjo un gigantesco ataque de denegación de servicio (DDoS) que afectó a grandes centros de datos en Estados Unidos y a proveedores de DNS como Dyn. Sitios y plataformas web como GitHub, Airbnb, Imgur, PaPal, Pinterest, Twitter, Reddit o Spotify se vieron afectados por un ciberataque que dejó fuera de servicio o muy tocadas a estas plataformas durante horas.

En aquel ataque, explicaba el experto en seguridad Brian Krebs, la botnet se alimentó de millones de pequeños dispositivos conectados, sobre todo routers y cámaras de videovigilancia IP que contaban con una mala configuración de seguridad que dio acceso a todos esos productos a los responsables del ciberataque. Posteriores investigaciones han revelado lo sencillo que puede llegar a ser acceder a estos dispositivos: el malware Mirai era capaz de infectar una cámara IP en tan solo 98 segundos.

Este problema es especialmente delicado teniendo en cuenta las enormes implantaciones de cámaras de vigilancia que por ejemplo existen en China o que pretenden también instalarse en Estados Unidos para evitar tiroteos masivos.

En enero de 2019 conocíamos el caso de las cámaras Nest hackeadas que alertaron de un falso ataque de misiles desde Corea del Norte. Esos sistemas de videovigilancia instalados en las calles no demuestran ser especialmente efectivos en un estudio reciente en San Francisco, pero sus vulnerabildidades las pueden convertir en un problema mucho más grande del que pretenden solucionar, y lo mismo ocurre con otros muchos dispositivos de la internet de las cosas.

No cambiar la contraseña a estos dispositivos, que tienen configuradas por defecto claves tan sencillas como "123", puede ser fatal.

Las propias empresas que comercializan estos productos avisan de esos riesgos de seguridad, y apuntan a cómo en el caso de las cámaras de videovigilancia el fallo de seguridad más habitual es el de no configurar una contraseña distinta que la que viene por defecto. En junio de 2018 se descubría que millones de cámaras para monitorizar a bebés estaban afectadas por este problema, y en algunos casos la contraseña era un simple "123".

Los esfuerzos para proteger estos dispositivos van aumentando, y por ejemplo en Japón se anunció recientemente una curiosa iniciativa para intentar hackear los dispositivos de sus ciudadanos con el fin de ayudarlos a proteger mejor esos productos. Es un buen paso, pero aquí fabricantes (y usuarios) deben hacer un esfuerzo especial para proteger este tipo de productos y evitar así problemas de seguridad importantes.

Ver todos los comentarios en https://www.xataka.com

VER 54 Comentarios

Portada de Xataka