Alerta: vulnerabilidad de las cámaras de seguridad conectadas a IoT

Cualquier dispositivo interconectado dentro de una red corporativa, independientemente de su naturaleza, representan un riesgo y las cámaras de videovigilancia han sido las protagonistas de algunas de las mayores brechas de seguridad de la historia

Publicado el 19 Jun 2023

Las cámaras de videovigilancia conectadas a las redes IoT entrañan un gran peligro de seguridad. Adobe Stock.Hace falta una política de seguridad integral para los entornos IoT. Adobe Stock.

Las cámaras de videovigilancia conectadas a Internet han sido las protagonistas de algunas de las mayores brechas de seguridad de la historia. Fue el caso de un ataque por denegación de servicio (por sus siglas en inglés DDoS) en 2016 que tumbó durante varias horas las web más con mayor tráfico del mundo como Spotify, Netflix o New York Times y vuelven a ser protagonistas de titulares, tras el ataque que recibieron las cámaras de seguridad de la vivienda del antiguo líder de Unidos Podemos, Pablo Iglesias, tras el que se emitieron sus imágenes en directo en una página web.

Las cámaras integradas a la Internet de las Cosas son, por tanto, de un arma de doble filo. Es decir, su función de vigilar y grabar lo que ocurre en una vivienda particular, una oficina o lugar público, es de gran valor a la hora de dar sensación de seguridad. Pero, al estar conectadas a Internet, son herramientas realmente peligrosas si no cuentan con una capa de ciberseguridad bien armada, actualizada y monitorizada.

“Cualquier dispositivo interconectado dentro de una red corporativa, independientemente de su naturaleza, representan un riesgo”

Igual de peligrosas son las cámaras de fotos que tenemos en nuestros ordenadores y teléfonos. No hay más que recordar la vulnerabilidad que se detectó hace algunos meses en las cámaras de los iPhone que, por medio de un exploit, permitían oír y ver lo que captaba el móvil de una persona que recibía la llamada aunque la rechazase. En pocas horas, Apple detectó el problema, cerró el servicio de llamadas a tres de todos sus iPhones y solucionó el incidente en cuestión de días.

Y es que, cualquier dispositivo interconectado dentro de una red corporativa, independientemente de su naturaleza, representan un riesgo.

Alerta: cámaras conectadas a Internet de las Cosas

La principal diferencia entre las cámaras que podemos tener en nuestros móviles u ordenadores y las webcams destinadas a la seguridad de espacios físicos es que estas segundas forman parte de la IoT. Es decir, son sistemas que han sido concebidos para conectarse a una red neuronal gigantesca en la que hay miles y miles de dispositivos que se conectan a forma nodos. Cada uno de estos aparatos cuesta un dinero de por sí. A lo que hay que añadir la inversión necesaria en ciberseguridad que tiene dos costes: hardware y software.

Riesgos de las cámaras de videovigilancia conectadas a IoT

De hecho, como sostienen desde Integración Tecnológica Empresarial (ITE), las cámaras de videovigilancia conectadas a las redes del Internet de las cosas (IoT) presentan ciertos riesgos y pueden exponer a las compañías a diversas amenazas de seguridad.

Algunos de estos riesgos incluyen:

  • Vulnerabilidades de seguridad: las cámaras de videovigilancia conectadas a redes IoT a menudo tienen software y firmware que pueden contener vulnerabilidades. Estas vulnerabilidades pueden ser explotadas por ciberdelincuentes para obtener acceso no autorizado a las cámaras, lo que les permite espiar o manipular la información capturada.
  • Acceso no autorizado: si las cámaras no están correctamente protegidas, los ciberdelincuentes pueden acceder a ellas de forma remota y sin autorización. Esto podría permitirles ver las transmisiones en directo, obtener grabaciones almacenadas y comprometer la seguridad de la red en la que están conectadas.
  • Ataques de denegación de servicio: las cámaras de videovigilancia conectadas a redes IoT pueden ser utilizadas como parte de un ataque de denegación de servicio distribuido (DDoS). Los ciberdelincuentes pueden tomar el control de las cámaras y utilizarlas para enviar una gran cantidad de tráfico a un objetivo específico, sobrecargando la red y dejando inaccesibles los sistemas y servicios relacionados.
  • Fugas de datos: si las cámaras no están configuradas adecuadamente o si se ven comprometidas, podrían exponer datos sensibles. Esto podría incluir imágenes y vídeos de áreas protegidas, información sobre el diseño y la ubicación física de la infraestructura, y cualquier dato personal que se haya capturado en las grabaciones.
  • Puerta de entrada a la red: las cámaras de videovigilancia conectadas a redes IoT pueden ser utilizadas como una puerta de entrada para acceder a otros dispositivos y sistemas en la red. Si un atacante logra comprometer una cámara, puede utilizarla como punto de entrada para infiltrarse en otros dispositivos conectados a la misma red, lo que podría poner en peligro la seguridad de la empresa en su conjunto.
Falta de concienciación en asegurar las redes IoT

Por lo general, prima más el precio que la seguridad y muchas compañías encargadas de desplegar estas redes le dan más importancia a lo primero que a lo segundo. Por ello, en muchas ocasiones nos encontramos aparatos conectados a la Internet de las Cosas que no están siquiera diseñados para que se les pueda instalar un software de seguridad.

“En nuestra vida privada somos cada vez más conscientes de los riesgos que entraña estar conectado a Internet sin ningún filtro de seguridad. Pero, todavía queda mucho camino por recorrer a la hora de crear un IoT ciberseguro. Para ello, es necesario un acuerdo global entre todos los integrantes de la industria tecnológica para que sea una obligación cumplir con ciertos cánones de seguridad” recomienda Hervé Lambert, Global Consumer Operations Product Manager de Panda Security.

“Queda mucho camino por recorrer a la hora de crear un IoT ciberseguro, aunque la concienciación sobre proteger estos dispositivos ha ido aumentando”

También José de la Cruz, director técnico de Trend Micro Iberia, indica que no existe concienciación sobre la necesidad de proteger los circuitos de vigilancia ni sobre la importancia de proteger los dispositivos de IoT. Y apunta que “son dispositivos a menudo gestionados por terceros ajenos al departamento de seguridad y TI”.

No obstante, aunque queda mucho por avanzar, la concienciación sobre la necesidad de proteger los dispositivos de IoT, incluidos los circuitos de vigilancia, ha ido en aumento en los últimos años, explica el integrador. A medida que la tecnología IoT se ha vuelto más ubicua en nuestras vidas y en el entorno empresarial, se ha reconocido la importancia de asegurar estos dispositivos debido a los riesgos de seguridad asociados.

Características atractivas de las cámaras de vigilancia para los ciberdelincuentes

No en vano, las cámaras de videovigilancia poseen una serie de características, como señala José de la Cruz, que los hacen más apetecibles para los ciberatacantes:

  • Están conectados a una red corporativa donde existen otros activos que puedan resultar de interés (por ejemplo servidores de ficheros, web, correo, etc.). Por lo tanto, un potencial compromiso dotaría al atacante de acceso inmediato y con una buena conectividad a la red corporativa.
  • Suelen disponer de conectividad con servicios cloud para el almacenamiento de datos. Es decir, están expuestos directa o indirectamente a Internet lo que facilita el ataque.
  • Son dispositivos que pasan desapercibidos desde el punto de vista de seguridad, a menudo no se les presta atención y no se protegen adecuadamente.
  • Suelen ser numerosos por lo que, de ser comprometidos, permitirían efectuar ataques de tipo denegación de servicio.

¿Cuáles son los métodos de ataque más utilizados en estos casos?

  • Acceso de fuerza bruta intentando averiguar las credenciales.
  • Acceso con credenciales por defecto definidas por el fabricante. Las credenciales definidas de fábrica son de dominio público. Si no se modifican estas pueden ser utilizadas fácilmente.
  • Ataques a vulnerabilidades: Si el dispositivo cuenta con una vulnerabilidad no parcheada y esta no es corregida desplegando el correspondiente parche de seguridad, esta podrá ser utilizada por un potencial atacante.

En general, existen varios métodos de ataque comúnmente utilizados en IoT, algunos de los más empleados son los ataques de fuerza bruta, ataques de denegación de servicio (DoS), inyección de comandos, ataques man-in-the-middle, phishing, o explotación de vulnerabilidades.

Repercusiones para las personas

Algunos de los motivos por los que es importante proteger los dispositivos de IoT son:

  • Mantener la privacidad de los datos;
  • Prevenir ciberataques; proteger la red, pues dispositivo conectado comprometido puede servir como punto de entrada para atacar otros dispositivos o sistemas dentro de la red;
  • Protección de infraestructuras críticas;
  • Continuidad del negocio.

El hecho de que un atacante con los conocimientos necesarios pueda obtener las imágenes tomadas por un sistema de videovigilancia de una empresa o un particular y utilizarlas para difamar a una persona, es un tipo de acoso que ya está penado por la Ley. Pero si, además, esa información se utiliza para averiguar la ubicación exacta de una o varias personas, saber si hay empleados en las instalaciones o si el lugar está vacío, e incluso usar las cámaras para ver las contraseñas y los datos confidenciales, es un riesgo en el que se puede ver comprometida la seguridad de las personas.

¿Cómo se pueden proteger estos sistemas?

Por todo ello, contar con un antivirus en el ordenador ya no es suficiente, aunque sí es necesario. Necesitamos sistemas que defiendan de forma coordinada todas las conexiones a Internet de cada persona, ya que cualquier dispositivo, ya sea un smartwatch, una alarma de incendios, un móvil o una cafetera con conexión a la red pueden convertirse en las piezas clave para efectuar con consecuencias que podrían ir más allá de dejarnos sin escuchar música por Internet durante un par de horas, sentencia el portavoz de Panda Security.

“La concienciación y la formación del personal también son importantes para garantizar que se sigan las mejores prácticas de seguridad y se eviten errores comunes que podrían exponer a la empresa a riesgos innecesarios”

Desde Trend Micro, por su parte, aportan 3 claves:

  • Analizar la postura de seguridad del dispositivo: política de contraseñas robusta, eliminar credenciales por defecto, gestión de las vulnerabilidades.
  • Monitorización con una solución a nivel de red (por ejemplo: IPS/IDS que permita supervisar el tráfico de los dispositivos).
  • Proteger los dispositivos con una solución IPS que permita bloquear ataques tanto a vulnerabilidades conocidas como ataques genéricos.

Asimismo, en ITE consideran que para mitigar los riesgos que entrañan estos equipos y proteger a las compañías, se recomienda tomar las siguientes medidas:

  • Implementar medidas de seguridad sólidas, como contraseñas fuertes y únicas, autenticación de dos factores y encriptación de datos.
  • Mantener actualizados el firmware y el software de las cámaras de videovigilancia para asegurarse de que se han corregido las vulnerabilidades conocidas.
  • Segmentar las redes para limitar el acceso de las cámaras a otros sistemas y dispositivos.
  • Monitorizar regularmente el tráfico de red y las actividades sospechosas.
  • Utilizar soluciones de seguridad como firewall, sistemas de detección de intrusiones y antivirus para proteger la red y los dispositivos conectados.

La concienciación y la formación del personal también son importantes para garantizar que se sigan las mejores prácticas de seguridad y se eviten errores comunes que podrían exponer a la empresa a riesgos innecesarios.

En definitiva, la protección de los dispositivos de IoT requiere una combinación de medidas técnicas, como actualizaciones de seguridad, autenticación fuerte y cifrado de datos, junto con una concienciación y educación sólidas sobre las mejores prácticas de seguridad cibernética. Al adoptar un enfoque integral de seguridad, se puede minimizar el riesgo de ataques y aprovechar plenamente los beneficios de los dispositivos de IoT de manera segura.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

Cristina Albarrán
Cristina Albarrán

Artículos relacionados

Artículo 1 de 4