Tu cámara inteligente no es inmune a las intrusiones

El Internet de las Cosas no es nada seguro: nuestros expertos han analizado una cámara inteligente y han encontrado numerosas vulnerabilidades.

Aunque suene triste, los dispositivos inteligentes no son tan seguros como podemos pensar, de hecho, en una de nuestras publicaciones recientes ya hablamos sobre las amenazas que se generan en los usuarios de electrodomésticos conectados. Hoy, les hablaremos de otro de los hallazgos de nuestros expertos: una cámara inteligente puede tener tantas vulnerabilidades como las características que se describen en su manual de usuario.

13 vulnerabilidades, ¿en serio? En Securelist encontrarás la lista en el informe completo. Pero ¿cuáles son las consecuencias que podría sufrir el propietario de la cámara?

El sujeto de nuestro estudio es Hanwha SNH-V6410PN de Techwin, una antigua subsidiaria de Samsung. Aunque la empresa cambió de dueños hace un par de años, ha estado fabricando estas cámaras bajo la marca de Samsung hasta finales del 2017 y todavía se puede encontrar alguna en el mercado.

La cámara se anuncia como una herramienta de supervisión multiusos perfecta para el cuarto del bebé, el resto de la casa en general, e incluso pequeñas oficinas. Cuenta con visión nocturna, se mueve para seguir un objeto en movimiento, transmite la imagen a un smartphone o tablet y reproduce sonido gracias a un altavoz incorporado.

Los propietarios pueden controlar todas las funciones de la cámara web a través de un servicio en la nube al que se puede acceder desde una computadora de sobremesa o un dispositivo móvil. Sin embargo, según la investigación ICS CERT de Kaspersky Lab, las vulnerabilidades de la cámara conceden el control a terceros, todo un mundo de oportunidades para los atacantes.

Ojos que no ven…

¿Qué podría pasar? Un intruso podría remplazar el vídeo que se envía al usuario, como en las películas en las que el villano, o el bueno, esquiva a los guardias de seguridad con unas grabaciones de una semana anterior mientras se cuela en una instalación segura. Pues ya no es cosa de las películas, ahora los ciberdelincuentes del mundo real pueden llevar a cabo este truco cuando busquen colarse en una casa o en una oficina protegida por esta cámara inteligente.

Esta misma cámara puede ayudar a los intrusos a conseguir la información que necesitan antes de entrar. Nuestros expertos han podido interceptar la grabación del vídeo, aprovechar el canal de audio y hacerse con los datos basados en la ubicación. Es decir, los atacantes podrán conocer la ubicación del dispositivo y estudiar los hábitos y las prácticas de los residentes o empleados para planear su invasión de forma deliberada, todo de forma remota desde Internet.

¿Qué ven mis ojos electrónicos?

Incluso si dejamos a un lado las situaciones más graves, un hacker puede aprovecharse de otras oportunidades. Como muchos otros dispositivos inteligentes, esta cámara puede intercambiar datos con redes sociales y servicios en línea para notificar a su propietario sobre eventos que tengan lugar en el área vigilada. Por tanto, una vez controlado, los hackers no solo pueden captar tus datos, sino también usar el dispositivo comprometido para enviar spam o mensajes phishing a tus amigos.

Y para ocultar su rastro o simplemente por diversión, también podrían estropear tus cámaras.

Pero también existen otras posibilidades, como espiar al propietario de la cámara cuando se piensa que está solo. A los hackers les encanta este tipo de bromas.

La cámara también puede reproducir audio gracias a un altavoz incorporado. Preferimos no ponernos muy creativos, pero imagínate a un extraño hablando a través de la cámara con la que monitorizas a tu hijo. Ya no te parece tan buena idea conectar la cámara a Internet, ¿verdad?

El ataque de los ciberzombies

Hace un par de años, nos percatamos del potencial de las botnets del IdC (cientos de dispositivos inteligentes trabajando bajo el mando de los delincuentes hicieron caer varios servicios importantes de Internet). Con cientos o miles de cámaras hackeadas, los criminales pueden usarlos para ataques DDoS, mantenerlos ocupados minando criptomonedas u ordenándoles infectar dispositivos adyacentes de la misma red o hacer todo lo dicho anteriormente.

¿Un futuro oscuro?

De hecho, además de las cámaras en casa y en la oficina, Hanwha también fabrica sistemas CCTV y lo más sorprendente: vehículos de artillería autopropulsada y torretas automáticas. Esperemos que con estos dispositivos la seguridad sea prioritaria.

Torreta automática Samsung Techwin SGR-A1, foto de Wikipedia.

Hemos informado de todos los problemas detectados en el firmware de Hanwha SNH-V6410PN y en el servicio de la nube desde donde se controla la unidad y el fabricante ya ha solucionado casi todos.

Pero hasta que los fabricantes de dispositivos inteligentes no empiecen a tomarse más en serio la protección de sus productos (durante su desarrollo) te aconsejamos que tomes el control de tu propia seguridad.

  • Antes de adquirir un dispositivo inteligente, ya sea una cámara para vigilar al bebé desde tu smartphone o algo totalmente diferente, piénsatelo dos veces. Si lo necesitas, busca en Internet información sobre los intentos de hackeo o las vulnerabilidades que se conocen hasta ahora.
  • Infórmate todo lo que puedas sobre los dispositivos que ya tienes para reducir los riesgos de ataque. Kaspersky Lab ha lanzado una aplicación llamada Kaspersky IoT Scanner, una solución de protección de dispositivos inteligentes gratuita que analizará tu red wifi y te dirá si los dispositivos conectados a ella son seguros o no.

*Actualización: La aplicación que se describe en esta publicación está descatalogada.

Consejos