Hackear estas cámaras de seguridad solo requiere tres horas y dos gráficas

Hackear estas cámaras de seguridad solo requiere tres horas y dos gráficas

Carlos González

La domótica lleva muchos años existiendo, aunque el ‘Internet de las Cosas’ haya empezado a popularizarse ahora. Y un elemento clave, en este entorno, son las cámaras de vigilancia que funcionan por Internet. Cámaras IP que graban de forma constante en casa, por ejemplo, y que podemos controlar desde cualquier parte para vigilar la seguridad de nuestra casa a distancia. Guardzilla es un popular fabricante de este tipo de productos, y hackear una de sus cámaras es increíblemente sencillo.

Las cámaras de vigilancia de este fabricante, según han descubierto desde 0DayAllDay, utilizan una clave de seguridad que se puede extraer de su firmware. El firmware tiene un importante problema de diseño a nivel de seguridad, la clave root viene cifrada, pero con un algoritmo obsoleto. Por este motivo, los expertos en seguridad informática han mostrado que solo hacen falta tres horas para que, con el trabajo de dos tarjetas gráficas, se encuentre esta clave de seguridad de 8 caracteres. Es decir, que lamentablemente es un fallo de seguridad que se puede explotar de forma sencilla por una persona ‘corriente’, no hace falta material especializado.

Todo lo que graba una de estas cámaras de vigilancia se puede robar: lo que haces en casa se sube a la nube con una seguridad realmente baja

Explican además que las cámaras de vigilancia de esta compañía graban vídeo de forma constante y suben los clips a la nube de forma automática. Se utiliza Amazon Web Services para el alojamiento en servidores remotos, y al conseguir estas claves se puede acceder a todos los contenidos que allí se alojan y son subidos por las cámaras de vigilancia de todos sus clientes. Las prácticas del fabricante, a nivel de seguridad informática, son obsoletas y por lo tanto es sencillo para un atacante tomar el control de estas cámaras de vigilancia y, sobre todo, acceder a todo el material grabado.

Lo más preocupante es que el fabricante fue avisado con antelación. Han tenido tres meses para solucionar el problema antes de que la vulnerabilidad se hiciera pública, y no han actualizado el firmware de sus cámaras afectadas, que son todas. De hecho, desde la compañía no han llegado a reconocer el problema ni han anunciado una solución. Algo muy preocupante, puesto que estas cámaras graban también cuando estamos en casa, luego la privacidad de los usuarios se puede ver seriamente comprometida.