Las cámaras de seguridad han avanzado mucho en prestaciones en los últimos años, con algunas que cuestan entre 10 y 20 euros con resoluciones bastante aceptables y acceso remoto desde fuera de casa. El problema es que su seguridad deja muchísimo que desear, y además de ser fáciles de hackear, pueden aparecer abiertas en la red si no tienes cuidado.
Si tienes una cámara de seguridad china barata, probablemente sean vulnerables
La empresa de seguridad F-Secure ha analizado la seguridad de estas cámaras, y ha encontrado graves problemas de seguridad en las cámaras fabricadas por Foscam, que a su vez revende sus cámaras a otros 14 fabricantes que ponen su nombre. Los investigadores descubrieron al menos 18 vulnerabilidades que el fabricante todavía no ha arreglado, a pesar de que fueron informados de ellas hace varios meses. Uno de los modelos más afectados es la Opticam i5 HD, que tiene todas las vulnerabilidades.
Entre las vulnerabilidades descubiertas, se encuentra una realmente grave; que la cámara usa credenciales de acceso por defecto, las cuales no se pueden cambiar (contraseñas como 1234 – 1234), con lo que cualquier atacante puede acceder sencillamente a ella, sobre todo si se usa de manera conjunta con otro fallo que permite ejecuciones remotas. Otra permite usar Telnet para descubrir más fallos tanto en la cámara como en otros dispositivos de la red. Por último, el firewall de la cámara no actúa como tal, y muestra información sobre la validez de las credenciales.
Todos estos problemas de seguridad permiten que una cámara pueda unirse a una botnet como Mirai para realizar un ataque DDoS, así como acceder al feed de vídeo en directo y puedan espiarnos. Incluso se puede modificar el firmware de la cámara para controlarla incluso aunque se reinicie, lo que es especialmente peligroso si usamos las cámaras para uso personal como videovigilancia de bebés.
Cámaras de seguridad chinas de al menos 14 fabricantes afectadas
Al no haber arreglado Foscam los fallos de seguridad de las cámaras, F-Secure no ha mostrado ninguna prueba de cómo funcionan las vulnerabilidades para evitar que éstas se repliquen. En total, son al menos otros 14 fabricantes los que usan productos renombrados de Foscam:
- Chacon
- Thomson
- 7links
- Opticam
- Netis
- Turbox
- Novodio
- Ambientcam
- Nexxt
- Technaxx
- Qcam
- Ivue
- Ebode
- Sab
Si utilizáis cámaras de seguridad chinas de alguna de estas marcas, es importante que las tengáis en una red local dedicada que no tenga acceso a otros dispositivos en esa misma red, y que no tenga acceso remoto a través de Internet. Además, debéis desactivar el UPNP para que no se abran los puertos automáticamente.
También es recomendable, si podéis, cambiar la contraseña por defecto utilizada en la cámara, y comprobar si el fabricante ha lanzado actualizaciones de seguridad. Aunque, por desgracia, y al igual que hace Foscam, los fabricantes chinos casi nunca actualizan sus productos con parches de seguridad. En España nos encontramos entre los países con más cámaras vulnerables, según afirma el estudio de F-Secure. Estas cámaras suelen verse mucho en ofertas de tiendas de exportación chinas a precios reducidos, rondando los 10 euros.