Como hackear una GoPro para espiar a sus propios usuarios

Los 'hackers' nunca descansan en detectar nuevas vulnerabilidades. Sus objetivos favoritos son los smartphones (si son Android, mejor que mejor) y los ordenadores, pero cada vez hay más dispositivos conectados que son objetivos muy jugosos para dejarlos pasar.

Desde un coche inteligente hasta que se puede abrir sin permiso hasta un Apple Watch que se puede desvincular fácilmente de un iPhone, pasando por cajeros anquilosados. Todo es vulnerable y los ciberdelincuentes pueden llevar a cabo el robo del siglo o incluso dejar KO a un marcapasos.

Ahora la empresa de seguridad británica Pen Test Partners ha dejado en evidencia la seguridad de otro de esos dispositivos que se conectan a internet via wifi: la famosa cámara GoPro, que se puede controlar conectándola a un teléfono Android, iOS o Windows Phone, ya sea para grabar o para ver contenido almacenado. El problema llega cuando alguien puede birlarte esos vídeos... o hacer algo mucho peor.

Esta empresa ha demostrado que no solamente tú puedes controlar tu GoPro, ya que alguien que conozca un poco la configuración de su vínculo con otro dispositivo puede meter la mano sin que te enteres. Lo ha hecho con una Hero3 de forma sencilla y con una Hero4 con un poco más de paciencia. Incluso estando apagadas. Vamos, que es factible un secuestro en toda regla, igual de terrible que cuando acceden a la 'webcam' de tu ordenador.

Los especialistas en seguridad demostraron a la BBC cómo se podía grabar la imagen y el audio de forma secreta de la GoPro, además de gestionar su contenido almacenado ¿Por qué? Pues otra vez vuelven a ser protagonistas las contraseñas débiles e inseguras. Está muy bien que cuando desembalas tu nueva niña bonita la quieras usar de inmediato, pero no pongas de password que pondría un niño de primaria...

Utilizando un programa gratuito que prueba multitud de palabras por segundo y un ordenador es fácil descifrar la clave de la wifi a la que se conecta la cámara –obviamente hay que estar en el rango de acción de la red- y la contraseña de vinculación entre la cámara y el dispositivo móvil. Si esta última era cualquier palabra del diccionario, en tres o cuatro segundos.

La última GoPro Hero4 incluye una capa extra de seguridad, ya que la primera vez que se conecta a un teléfono o tableta en una red wifi te pide un código de vinculación (como cuando enlazas dos dispositivos vía Bluetooth). Pero cuál fue la sorpresa de los chicos de Pen Test Partners cuando comprobaron que esta era la primera y última vez que pedía la contraseña: con el segundo dispositivo que se enlazaba no hacía falta.

Si ya estás temiendo que alguien pueda espiarte en tu propia casa aún hay más. En la web de la empresa detallan el 'modus operandi' para robar tus vídeos de la tarjeta SD una vez traspasado el muro de seguridad. O acceder a los distintos comandos a través de una web para apagar los LEDs o los sonidos de la cámara que podrían alertarnos de la presencia de un 'voyeur'.

¿Cuál es la solución? Contraseñas robustas en el momento de conectarlas a la red wifi, de entre 8 y 16 caracteres (mayúsculas, números y símbolos incluidos), o cambiar el nombre y la contraseña de la red de la cámara. También se puede desconectar la conexión wifi del dispositivo y, acto seguido, apagarla. Se pierde un poco en usabilidad, pero se gana en tranquilidad.