Las recientes noticias sobre “cámaras hackeadas”, “monitores de bebés violentados” y el “sitio web ruso que vigila a los ciudadanos británicos” parecen haber llegado a todas partes. Y si tenemos en cuenta los relatos de quienes resultaron afectados por estos incidentes, la situación parece ser realmente seria.
Usuarios, oficiales y fabricantes de webcams se acusaron entre sí en vez de buscar una solución. Lo realmente importante es que si posees un dispositivo conectado a Internet, es vital que estés informado sobre las noticias de seguridad. De lo contrario, tu vida privada puede estar a merced de cualquier persona, sin que te des cuenta.
¿Qué sucedió?
Veámoslo así. Compraste una cámara. No una cualquiera, sino una wireless que te permite ver videos mientras, por ejemplo, le das de comer a tu bebé, estacionas tu auto en el garaje o caminas por las calles aledañas a tu hogar (o a tu ciudad, y por qué no, tu país). La conectas, sigues los pasos que te indica el manual del usuario y ¡está lista para ser usada! Un equipo tecnológico de primera, un claro ejemplo del mundo digital moderno.
https://twitter.com/f15/status/535828066640347136
Sin embargo, esto puede suponer un gran problema. Muchos usuarios parecen conformarse con el hecho de que un dispositivo funcione, sin prestar atención a cuestiones vitales como, por ejemplo, cambiar la clave que viene por defecto.
Es decir, todo aquél que conoce la dirección ip precisa de la cámara y la clave por defecto (que por lo general es “1234”) puede acceder a tu información privada. ¿Cómo saberlo con precisión? En el buscador de Google averiguarlo (hay miles de links a cámaras online).
Muchos usuarios no se preocupan por cambiar la #clave que viene por defecto en las #webcams
Tweet
No pasó mucho tiempo antes de que a alguien se le ocurrió la idea de crear un sitio web que busca todas cámaras web desprotegidas de Internet. Incluso las ordena por país y región (con base en la dirección IP que revela la localización) y que tiene como usuarios a personas perversas que las buscan con fines malintencionados. Hay, incluso, un foro de discusión con acceso limitado donde la gente conversa sobre contenido de esas cámaras. ¡Ouch!
Entonces ¿Quién es el culpable de este incidente?
Todos a la vez y ninguno en particular. En primer lugar, los cibercriminales. Las personas que crearon el sitio web, en realidad, no utilizaron ninguna tecnología sofisticada para hackear las cámaras. Es decir, no explotaron las vulnerabilidades en el software de las cámaras, ni tampoco crearon sitios web phishing para robar las contraseñas. Simplemente se aprovecharon de un pequeño error en la configuración. Se infiltraron en un dispositivo que no cumplía con las medidas de seguridad mínimas. Fue como tomar una billetera que alguien dejó olvidada en un bar. El dueño de esa billetera no tendría que haberla dejado allí, al alcance de cualquiera. Este tipo de “delitos” difiere mucho de un robo a mano a armada. Aunque, es cierto, sigue siendo una acción reprobable.
En segundo lugar, los usuarios. La mayoría de las personas no cambió la contraseña que venía por defecto en el dispositivo, a pesar de que el manual de uso lo recomendaba. De todas formas, pocas personas se toman el tiempo de leer todo el manual. Sobre todo en el caso de dispositivos que son sencillos de hacerlos funcionar, como las cámaras web. El problema es que, muchas veces, los productores de estos dispositivos priorizan la simplicidad de uso de un aparato por sobre la seguridad de éste. Piénsalo de esta forma: si la cámara les hubiera requerido a cada usuario que cambie la contraseña predeterminada antes de comenzar a utilizarla, todo este incidente podría haberse evitado.
A story about Jessica, free #antivirus, importance of education and mutual aid http://t.co/8BfxyX7tsA
— Eugene Kaspersky (@e_kaspersky) September 30, 2014
En tercer lugar, las empresas. Culpan del incidente a los “hackers” y, al mismo tiempo, a los usuarios por no haber cambiado la clave del producto. En este punto, nos podremos del lado de los consumidores. En Kaspersky Lab sostenemos que cualquier producto que cuenta con una conexión a Internet debe incluir medidas de seguridad serias y efectivas. También consideramos que las empresas deben explicar a sus clientes los requisitos básicos de seguridad de forma simple y comprensible, a fin de preservar su privacidad.
En #Kaspersky creemos que las empresas deberían explicarles a sus clientes los requisitos básicos de seguridad de forma simple y comprensible
Tweet
Bienvenidos al maravilloso mundo de las computadoras
En general, la causa de este tipo de incidentes radica en que la mayoría de las personas cree que dispositivos de este tipo son sólo aparatos útiles que realizan una o dos tareas. La realidad es mucho más compleja. La mayoría de las cámaras web, routers, Smart TVs, Reproductores multimedia, etc, son, en efecto, computadoras capaces de hacer mucho más de lo que nosotros nos imaginamos. Esto es así porque en el proceso de producción industrial de estos dispositivos se utiliza un hardware y un software estándar (como los de una PC convencional), debido a que es la forma más barata de hacerlo. Aunque no lo sepas, si bien el router de tu casa sólo se dedica a brindarte una conexión Wi-Fi, su tecnología es tan sofisticada que podría ser utilizada para controlar un vehículo. Es por ello que los cibercriminales atacan estos dispositivos.
Consejo
Dado que la mayoría de los proveedores de hardware, software o servicios web no piensan seriamente en la seguridad, nos vemos en la obligación de cuidarnos nosotros mismos. Hay dos formas de hacerlo. La primera es educarse en computación, programación, redes y softwares. Comprender las vulnerabilidades y cómo funcionan los protocolos de comunicación para poder modificar tu propio sistema, de modo tal que esté protegido frente a todo tipo de amenazas.
La segunda opción es confiar en los profesionales. Para computadoras, smartphones y tablets no hay mayores problemas (puedes echarle una mirada a Kaspersky Total Security). Pero los dispositivos como cámaras web, routers, Smart TVs son demasiado diversos y, en general, las empresas que los producen no permiten que se realicen análisis de seguridad externos sobre ellos. Por lo tanto, es casi imposible contar con una única solución de seguridad para protegerlos todos. Entonces, lo que debes hacer es leer los manuales, comunicarte con el personal de soporte técnico y aprender cómo configurar la seguridad de tus aparatos.
Para aprender más sobre este tipo de ataques, lee este artículo del experto de Kaspersky Lab David Jacoby: El día que hackee mi propia casa.
Read about how I hacked my own home! Full research paper here! #iot http://t.co/WXAXkDJWfK
— David Jacoby (@JacobyDavid) August 21, 2014
Las buenas noticias: dos días después de que la información se dio a conocer, el sitio web fue dado de baja. Las malas noticias: el sitio estuvo funcionando por seis meses y el error de configuración que permitió el incidente había sido notificado ya en agosto de 2013.
BBC News – Breached webcam and baby monitor site flagged by watchdogs http://t.co/YnICwbMzvm
— Foscam UK (@FoscamUK) November 21, 2014
El hecho de que el sitio web ya no existe no significa que las cámaras afectadas son seguras. De hecho es posible encontrar accesos a ellas con sólo usar el buscador de Google. La única solución definitiva es cambiar la contraseña que viene por defecto en el dispositivo. Se sabe que las cámaras producidas por Foscam cuentan con esta falla.
Traducido por: Guillermo Vidal Quinteiro y Maximiliano De Benedetto