Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/11/2014
Cómo asegurar cámaras IP y webcams comenzando por aplicar el sentido común
Aunque el espionaje a través de las webcams es un asunto conocido y repetido desde hace años, la publicación por una página web rusa de grabaciones y transmisiones de miles de cámaras IP, de circuitos de vigilancia comerciales, de instalaciones caseras o de webcams instaladas en equipos informáticos, ha tenido amplia repercusión mediática tras la alerta por parte de las autoridades británicas de telecomunicaciones y protección de datos.
Las transmisiones y grabaciones alcanzan al mercado corporativo, locales comerciales de todo tipo o cajeros automáticos y cajas registradoras y también al mercado de consumo, dormitorios privados y estancias de bebés, entre otros.
Podríamos pensar que esta invasión a la privacidad se ha producido por un exploit programado aprovechando una vulnerabilidad en el firmware de los equipos, el software de control o como el que vimos por un error de Flash Player en Chrome, pero nada más lejos de la realidad.
Simplemente estaban al alcance de cualquiera ya que eran equipos cuya contraseña de acceso no había sido modificada y conservaban los valores por defecto que implementan los fabricantes y que son ampliamente conocidos en Internet. En otros casos, incluso, estaban totalmente abiertas sin autenticación de ningún tipo.
Modelos de Panasonic, Foscam o Linksys se encuentran entre los dispositivos vulnerables aunque esto es solo la punta del iceberg y la responsabilidad se extiende a la industria en general y no solo a los fabricantes de cámaras IP o webcams porque el -mal- hábito de poner el mismo usuario y contraseña por defecto es extensible a routers, smart tv y otros productos electrónicos conectados.
El usuario también tiene mucho que decir en materia de seguridad y es el máximo interesado en proteger su privacidad, por ejemplo de un circuito cerrado casero donde se muestra su casa y su familia. Cambiar el nombre de usuario y la contraseña por defecto es la primera acción que debemos realizar antes de “lanzar al aire” nuestra información más personal.
Por supuesto con una contraseña única y lo más fuerte posible como hemos hablado en múltiples ocasiones y en medio de una mayor concienciación general en materia de seguridad.
La actualización del firmware y del último software del fabricante es otra de las medidas a realizar por el usuario, cuidando en extremo, la instalación de software adicional de terceros. Bloquear el acceso remoto y apagar cámaras IP y webcams cuando no sean utilizadas es otra medida recomendable a realizar por el usuario.
Es imposible asegurar al 100% un dispositivo conectado pero no lo pongamos tan fácil.