Las casas inteligentes representan una categoría joven, aunque completa, de artículos electrónicos. Hervidores con interfaz web, planchas que se apagan en remoto, sistemas de control de iluminación inteligente: todo fue creado para facilitarnos la vida. Pero ¿son realmente seguros estos productos? Además de la comodidad, los dispositivos del internet de las cosas (IdC) también conllevan nuevos riesgos de privacidad y seguridad y es rara la semana que pasa sin el reporte sobre otra vulnerabilidad en este u otro dispositivo inteligente. Si un “simple foco inteligente” se puede usar para hackear una red doméstica, imagínate lo que se podría hacer con un equipo más delicado.
Un elemento clave de cualquier sistema de seguridad doméstico es una videocámara conectada a internet. Las hay de todo tipo: desde cámaras para niñeras y videoporteros hasta sofisticadas cámaras motorizadas para la videovigilancia profesional.
Las cámaras IP están conectadas ya sea de forma permanente o periódica y las grabaciones suelen estar disponibles en el servicio especializado del propio proveedor. Por tanto, iniciar sesión en este servicio te concede acceso a la retransmisión de la cámara desde cualquier parte del mundo. El problema es que la alternativa, una cámara accesible solo desde una red local, resulta poco atractiva para los clientes.
Esto plantea una serie de preguntas: ¿Y si los cibercriminales roban tus credenciales de inicio de sesión? ¿Son seguros los sistemas de videovigilancia en la nube? ¿Pueden los atacantes acceder a las grabaciones sin necesidad de hackear tu cuenta? Hay información muy sensible en juego, imágenes y vídeos de tu casa podrían caer en las manos equivocadas.
Promesas rotas
Anker ya conocía todos estos miedos cuando lanzó su propia línea de cámaras IP bajo la marca Eufy. Fundada en el 2011, Anker no es ningún novato en la industria electrónica. Empezó con cargadores y accesorios para smartphones y laptops y poco a poco fue fabricando toda una variedad de dispositivos electrónicos portátiles para todos los gustos y necesidades, incluidos los videoporteros y las cámaras de seguridad.
En un anuncio del sitio de Eufy, los desarrolladores de la cámara garantizan la máxima privacidad sin el uso de la nube: todos los datos se almacenan en local de forma segura. La función de videovigilancia remota se puede desactivar por completo, pero si quieres ver lo que sucede en tu casa, la cámara cifrará la grabación y la emitirá en una aplicación de tu smartphone, el único sitio en el que se descifrará. Esto es lo que se conoce como un cifrado de extremo a extremo, lo que significa que nadie, ni siquiera el proveedor, puede acceder a los datos.
También cabe destacar que el sistema de reconocimiento se ejecuta directamente en el propio dispositivo. Es la IA incorporada en cada cámara la que analiza la grabación sin necesidad de retransmitir nada a los servidores de la compañía. También identifica a la gente de la pantalla e, incluso, diferencia a los caseros e inquilinos de los extraños, para que el propietario de la cámara reciba una notificación únicamente cuando aparezca en escena una cara desconocida.
Eufy promete privacidad total garantizada. No obstante, los usuarios se llevaron una pequeña sorpresa: las cámaras Eufy funcionan diferente en segundo plano. El 23 de noviembre, el británico experto en seguridad Paul Moore tuiteó un vídeo culpando a Eufy de enviar datos a la nube, incluso cuando esta opción está desactivada.
El vídeo de Moore es una demostración detallada del problema, el cual detectó bastante rápido. Después de instalar un videoportero Eufy, Paul inició sesión en la interfaz web del dispositivo, donde analizaba el código fuente en el navegador y mostró que la cámara enviaba una imagen al servidor del proveedor cada vez que alguien aparecía en pantalla. Esto confirma que al menos una de las garantías de Eufy (nada de nubes) es mentira.
Después, Moore tuiteó varias veces más sobre otros problemas de protección de datos más serios. En apariencia, el cifrado de “confianza” de Eufy utiliza una clave idéntica para todos los usuarios. Y, lo que es peor, esta clave aparece en el código de Eufy que publicó la propia compañía en GitHub. Más tarde, el sitio de tecnología The Verge, en relación con Moore y otro experto de seguridad, confirmó el peor de los casos: al parecer, cualquier persona con conexión a internet puede ver el vídeo con tan solo conectarse a una dirección única del dispositivo.
Una explicación algo confusa
Podría decirse que el problema de la carga en la nube de la grabación tiene una explicación completamente lógica. En teoría, las cámaras Eufy funcionan de la siguiente forma: instalas la cámara en tu casa y configuras la aplicación en el celular. Cuando alguien presiona el botón de llamada inteligente o el sistema de reconocimiento percibe a alguien en la imagen, recibes una notificación en tu smartphone con una foto. La única forma de enviar estas notificaciones es a través de la nube. Entonces, ¿por qué promete Eufy una experiencia sin nube? ¡Esa es una buena pregunta!
¿Y lo de poder ver la grabación de manera remota? Para evitar que la vulnerabilidad se explote en masa, The Verge y sus fuentes no divulgaron toda la información sobre este problema, pero sí se conocen ciertos aspectos. En primer lugar, el cifrado prometido no se utiliza para enviar la grabación, de hecho, no se llega a cifrar en ningún momento y puede visualizarse desde cualquier reproductor, como VLC. En segundo lugar, para acceder a una cámara en concreto, necesitas su dirección URL única, es decir, su dirección en internet. Pero esas direcciones se generan de una forma muy predecible: teniendo en cuenta el número de serie impreso en la caja, la fecha y la hora; a todo esto le añaden una cifra aleatoria de 4 dígitos (para más “seguridad”), que se puede sacar fácilmente con fuerza bruta. Lo único que protege al propietario de la cámara del atacante en conocimiento del número de serie del dispositivo es que la cámara no envía constantemente datos online; primero debe activarse, por ejemplo, presionando el botón del timbre, momento en el que se puede conectar el intruso.
Se pidió a Anker, fabricante de Eufy, que confirmara o negara estas alegaciones, pero no hizo más que complicar la situación. Tal y como afirman The Verge y Ars Technica, los desarrolladores negaron por completo la existencia de cualquier problema de seguridad y, cuando se les preguntó por estos problemas en específico, publicaron dos declaraciones que se desmintieron más adelante.
En la primera declaración, la empresa “confirmaba” que era imposible ver la grabación de la cámara en directo, pero The Verge pudo hacerlo sin problema usando dos de sus propias cámaras Eufy. En la segunda, el proveedor admitió que la grabación del portero se envía a los servidores de la compañía, pero solo para garantizar que esas mismas notificaciones lleguen al smartphone, después las imágenes se eliminan. Pero esto también fue desmentido por Moore con una simple prueba: después de ver las fotos de la cámara en su cuenta personal, guardó la URL de las imágenes y las eliminó del teléfono. Aunque las imágenes desaparecieron de su cuenta personal, Moore seguía pudiendo acceder a ellas simplemente introduciendo las URL que había guardado en la barra del navegador. El otro investigador fue más allá: después de restaurar por completo la videocámara, lo que eliminó todos los vídeos guardados en su cuenta, volvió a vincular el dispositivo a su cuenta y ¡vio los videos que supuestamente estaban eliminados!
Como norma general, los estándares éticos en la industria de la seguridad han evolucionado y entre ellos se encuentra la divulgación de la información sobre vulnerabilidades y cómo deben responder los proveedores. Pero en el caso de Eufy, donde todo se había ido por la borda, en lugar de conceder a la compañía la oportunidad de solucionar estos problemas, los investigadores hicieron públicas estas vulnerabilidades de inmediato. Después, para echar más leña al fuego, Eufy decidió refutar las afirmaciones de los expertos independientes sin pruebas técnicas; de hecho, el único cambio que notó Moore después de sus publicaciones incriminatorias fue que los enlaces a las grabaciones de las cámaras, que anteriormente se mostraban en lenguaje HTML claro, ahora estaban ofuscados. Es decir, la información seguía pasando por el servidor de Eufy, solo que ahora era más complicado rastrearla.
Por consiguiente, el proveedor rompió otra promesa en su sitio web, aparentemente en espera de que nadie revisara. Pero esta práctica no solo viola la promesa de la compañía, sino también las leyes regionales de protección de datos de los usuarios, como el RGPD de la UE.
Cómo protegerse
El caso de Eufy todavía es muy reciente y se necesitaría una investigación más a fondo para demostrar definitivamente que cualquier intruso podría interceptar las grabaciones de la cámara IP de un usuario particular. Sin embargo, hay otros ejemplos de problemas de seguridad aún más graves. Por ejemplo, en el 2021, se descubrió que las cámaras IP del proveedor chino Hikvision contenían una vulnerabilidad crítica que concedía al atacante el control total del dispositivo. La compañía lanzó un parche para solucionarlo, pero incluso después de un año miles de videocámaras de todo el mundo siguen vulnerables y accesibles a la espera del ataque de cualquier curioso. Por desgracia, lo más probable es que los propietarios de este tipo de dispositivos no estén al corriente de la vulnerabilidad, lo que puede llevar al peor de los escenarios.
Por tanto, volvemos a enfrentarnos a las mismas preguntas de siempre: ¿quién es el culpable y qué podemos hacer? Por desgracia, la industria del IdC no está nada estandarizada. No existen una serie de normas generalizadas que puedan aportar al menos un mínimo de seguridad y con las que los proveedores protejan sus dispositivos, con ayuda de los recursos disponibles y sus propias nociones de seguridad. Recae en el usuario decidir en qué proveedor confiar.
Como afirma Ars Technica, si tu dispositivo tiene una lente y conexión wifi, tarde o temprano alguien encontrará un agujero de seguridad en él. Lo curioso es que otros dispositivos con características similares, como las cámaras de las laptop o los smartphones, están mucho mejor protegidos: un indicador muestra cuando está la cámara en uso y las soluciones de seguridad monitorizan las aplicaciones y bloquean los accesos sin autorización que reciben.
Por otro lado, las cámaras de vigilancia IP funcionan de forma autónoma, a veces 24/7. Por desgracia, hasta que aparezca un sistema generalmente aceptado para la evaluación de la seguridad de los dispositivos, no debes confiar en las “garantías” de los proveedores, sino tomar ciertas medidas por tu cuenta para proteger tu privacidad. Por tanto, recomendamos a los propietarios de cualquier sistema de videovigilancia estar al tanto de los problemas de seguridad de estos dispositivos, comprobar minuciosamente los ajustes de la cámara, desconectar cualquier función en la nube que no sea necesaria e instalar las actualizaciones regularmente. Por último, a la hora de instalar un sistema de videovigilancia en tu hogar, sopesa los riesgos, dado que el daño potencial de un hackeo es bastante serio.