¿Quién es el culpable del “hackeo” de webcams?

Parece que las noticias sobre el “hackeo de webcams” están por todas partes, desde monitores de bebés hasta una página web rusa que monitoriza a ciudadanos ingleses.

Parece que las noticias sobre el “hackeo de webcams” están por todas partes, desde monitores de bebés hasta una página web rusa que monitoriza a ciudadanos ingleses. Si tenemos en cuenta las personas afectadas, la situación es seria. ¿Por qué?

Webcam

Para empezar, todos, desde usuarios hasta profesionales y fabricantes de webcams se han estado culpando, en lugar de intentar encontrar una solución al problema. Una parte importante de esta historia es que si tienes un dispositivo conectado a Internet, deberías estar al tanto de las noticias de seguridad. De lo contrario, tu vida privada puede salir a la luz online en cualquier momento y sin que te des cuenta.

Entonces ¿qué pasó?

Supongamos que compras una webcam. No una común que se conecta por el puerto USB de tu ordenador, sino una de las sofisticadas que transmiten vídeo y te permiten observar a tu bebé, tu coche en el garaje o en una acera cerca de tu casa mientras estás en otra habitación, otra ciudad u otro país. La conectas, sigues los simples pasos de manual de “Inicio rápido” y ya está. Es una pieza de tecnología brillante y un verdadero ejemplo del mundo moderno digital.

Pues no exactamente. El problema está en decir “así funciona”. Resulta que la mayoría de los usuarios quedan satisfechos con el hecho de que su dispositivo funcione, sin molestarse en cambiar la contraseña que trae por defecto y desconociendo que esto es posible o recomendado.

https://twitter.com/f15/status/535828066640347136

El hecho de no cambiar la contraseña significa que cualquiera que sepa la dirección exacta de la cámara o la contraseña por defecto (ya sabes, algo tipo “1234”), podría tener acceso a tu información privada. ¿Cómo saber la dirección exacta de la cámara? Puedes buscar un término en Google y acceder a miles de enlaces de cámaras online.

No ha tardado mucho en aparecer alguien que creara una página web para buscar webcams desprotegidas y clasificarlas por país y región (basándose en su dirección IP) para que los criminales disfruten. Incluso hay un hilo en un foro de acceso restringido, donde la gente habla sobre capturas de pantalla con contenidos “notables”, hechos con webcams. ¡Qué asco!

¿A quién hay que culpar?

A todos y a nadie. Hablemos primero de los cibercriminales. En realidad, la gente que ha creado la página web no ha utilizado ningún tipo de tecnología sofisticada para hackear. No han explotado vulnerabilidades del software de una cámara o instalado una página web phishing para robar tus contraseñas privadas. Simplemente, se han aprovechado de una mala configuración.

Estos cibercriminales han forzado el acceso al dispositivo, que no fue diseñado pensando en la seguridad.  Se podría comparar con el robo de una cartera olvidada en una cafetería. Para empezar, el dueño de esa cartera no debió haberla dejado en un sitio público. Aunque robar no se pueda comparar con irrumpir en la casa de alguien, se sigue considerando algo malo.

Ahora, tengamos en cuenta a los usuarios. Cometen el error de no cambiar su contraseña por defecto, a pesar de estar indicado en alguna parte del manual (página 57, en letra pequeña o algo por el estilo). No obstante, ¿de verdad la gente lee un manual de instrucciones para instalar un dispositivo que “simplemente funciona”? Los creadores de webcams las diseñan de manera que sean fáciles de utilizar. A veces, pasan por alto problemas de seguridad para mantener esa simplicidad. Si para la instalación de la cámara fuera obligatorio que el usuario cambiara la contraseña por defecto (una cosa muy simple de hacer), todo esto podría evitarse.

¿Qué hay de los fabricantes? Tienden a culpar a los “hackers” y a sus propios clientes por no cambiar su contraseña por defecto. Nosotros estamos del lado de los clientes. Creemos que todo lo que implique usar una conexión a Internet, debería estar diseñado con seguridad. También creemos que los fabricantes deberían explicar la seguridad en términos lo más simples posibles y hacer lo mejor por asegurar la privacidad de la vida de sus clientes.

¡Bienvenidos al maravilloso mundo de los ordenadores!

Generalmente contribuimos en los incidentes que ocurren, porque vemos a los dispositivos como simples artefactos con uno o dos funciones (como transmitir vídeos o proporcionar acceso a un WiFi).

En realidad, es mucho más complicado que eso. La gran mayoría de cámaras, routers caseros, televisiones inteligentes, codificadores y reproductores de música son inteligentes ordenadores, capaces de hacer más de lo que normalmente hacen. De hecho, la mayoría tienden a tener estas capacidades porque los fabricantes utilizan hardwares y softwares con propósitos generalizados, por ser un método más barato. El router que tienes en tu casa te da acceso a un WiFi, pero es complicado y suficiente para controlar una nave espacial. Esto es de lo que se aprovechan los cibercriminales.

Consejo

Ya que no todos los proveedores de hardware, software y servicios web tienen suficientemente en cuenta la seguridad, nos tenemos que encargar nosotros mismos. Hay dos maneras de hacerlo. La primera, es aprender sobre ordenadores, software, programación, redes, análisis de vulnerabilidades, protocolos de comunicación y cómo modificar tu propio sistema para que esté protegido de todas las amenazas.

La segunda, es confiar en los profesionales. Esto no es un problema para los ordenadores, smartphones y tabletas (échale un vistazo a Kaspersky Internet Security – Multi Device). Sin embargo, dispositivos como las webcams, routers y TV´s inteligentes, son muy diversos y nadie los audita, haciendo casi imposible llegar a una solución de seguridad. Así que lee el manual y llama a tu técnico informático para que se encargue de tus ajustes de seguridad (pero crea tu propia contraseña).

Para aprender más sobre “hackeos” similares, échale un vistazo a esta brillante investigación del experto de Kaspersky Lab, David Jacoby,  llamada “cómo he hackeado mi casa”.

La buena noticia es que dos días después de que salieran estas noticias, la página web web desapareció. Pero la mala noticia es que antes de que la cerraran, estuvo activa durante seis meses. Y la peor noticia: la mala configuración que ha hecho posible todo esto, ha sido revelada en una página web de tecnología Rusa en agosto del año 2013 (sin mencionar que los verdaderos cibercriminales la pudieron haber utilizado mucho antes de que esto pasara).

El hecho de que la página web ya no exista, no significa que las cámaras afectadas estén seguras. Alguien podría volver a acceder utilizando simples herramientas como una búsqueda en Google. La única y definitiva solución es cambiar la contraseña por defecto de la webcam. La marca del fabricante Foscam ha sido una de las afectadas.

Consejos