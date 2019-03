Hace unos días, mi compañero Manu Guerra, @CiberPoliES, entre las muchas que hay, localizó una cámara que no estaba enfocando a la puerta de un bar o de una esquina de un banco, sino a la cuna de un bebé. Se podía ver a través de Internet todo lo que le ocurría 24 horas al día. Por suerte, en menos de 12 horas se pudo avisar a los dueños que estaban en España para que la desactivaran. En este caso, fue mi compañero, un policía, el que localizó y avisó a sus propietarios, pero no siempre se tiene la misma suerte. Existen cientos de espías que se pasan el día viendo lo que otros exponen a través de su cámara pero las cosa podría ir a peor. Las imágenes pueden ser grabadas y utilizadas para una extorsión posterior o, por ejemplo, saber cuándo una vivienda está vacía y entrar a robar.

Panel de control de la cámara que apuntaba al bebé. Imagen cedida por @CiberPoliES

Le pedí a @CiberPoliES que nos contara cómo era posible que se pudieran ver imágenes íntimas de cualquiera en Internet.

Si se trata de Cámaras-IP que no tienen conexión a Internet o de CCTV (Circuito Cerrado de Televisión), no hay peligro, ya que sus imágenes solo se pueden visionar de forma local, es decir, las puede ver quien las ha configurado, nada más. El problema viene cuando se trata de Cámaras-IP que están conectadas a Internet, es decir, cuyas imágenes se pueden ver de forma remota desde cualquier parte del mundo a través de un ordenador o un teléfono móvil. Si dicha cámara no está configurada correctamente, lo mejor que puede pasar es que no funcione, así por lo menos, ni nosotros, ni otros, pueden ver las imágenes. El problema es que esas cámaras de video-vigilancia retransmitan y estén mal configuradas.

Normalmente las Cámaras-IP, como su propio nombre indica, retransmiten su señal de video a través de una dirección IP pública y un puerto de comunicación. Si alguien averigua cuál es esa dirección IP y el puerto de retrasmisión, puede ver desde cualquier lugar la imagen de la cámara. Por eso, estás cámaras deben estar protegidas por un panel de control web, que necesita de un usuario y contraseña para poder acceder a su control. Hasta este punto, todo correcto. Si la cámara ha sido configurada correctamente, sus imágenes solamente las pueden ver las personas autorizadas. Pero si el usuario configura la cámara de forma errónea o deficiente, nos encontramos ante tres panoramas donde la seguridad de la cámara brilla por su ausencia:

En la primera situación, no cambia las contraseñas de acceso al portal de administración que vienen configuradas por defecto. Esas contraseñas vienen publicadas en Internet y cualquier persona que las conozca o las busque, podría entrar y ver las imágenes.

Panel de control de una cámara. Imagen cedida por @CiberPoliES

En el segundo caso, el usuario deshabilita el control de acceso a su cámara IP para que le resulte más sencillo acceder pero también se lo pone en bandeja al resto. Gracias.

Y en el tercer supuesto, la cámara se encuentra perfectamente configurada, pero no actualiza su firmware de forma periódica (programación necesaria para que pueda llevar a cabo sus tareas diseñadas). Estas actualizaciones sirven, entre otras cosas, para mejorar las funcionalidades y la seguridad de un dispositivo, corrigiendo posibles fallos, por lo que si no se actualiza, la cámara podría quedar expuesta públicamente.

Hoy en día existen millones de Cámaras-IP públicas distribuidas por todo el mundo que no están correctamente configuradas. Cámaras instaladas en bares, dormitorios de viviendas, cocinas de restaurantes o supermercados, que están retransmitiendo sus imágenes de forma pública sin que sus dueños lo sepan, y no solo eso, si no que las personas podrían estar siendo filmadas por cualquiera a través de su ordenador. No hay que ser un experto informático para poder localizar estás cámaras mal configuradas y ver lo que están retransmitiendo. Se pueden localizar con una simple búsqueda en Google o Bing u otros buscadores especializados como Shodan. Siéntense, que empieza la retransmisión.

Buscador Shodan, cámaras expuestas. Imagen cedida por @CiberPoliES