El pasado mes de octubre los responsables del partido político Podemos denunciaron que la cámara de videovigilancia que la Guardia Civil había instalado en la vivienda de Pablo Iglesias e Irene Montero había sido hackeada: se podían ver esas imágenes en una página web de acceso público, revelan en El País.
No se sabe con exactitud cómo se produjo la intrusión en dicha cámara de vigilancia, pero este es el último ejemplo de un problema que afecta a millones de dispositivos de la conocida internet de las cosas: la mala configuración de seguridad de estos dispositivos ha provocado enormes conflictos como el que en 2016 causó un ataque de denegación de servicio que afectó a Twitter, Spotify o GitHub por medio de la botnet Mirai.
Una intrusión que pone de relieve el problema de seguridad de estos dispositivos
En Podemos se enteraron de la intrusión a través de un correo anónimo en el que se mostraban imágenes capturadas por esa cámara que se habían filtrado a una página web de acceso público.
Estructura de la botnet Mirai. Fuente: Level3.
La cámara de vigilancia afectada se había instalado por parte de la Guardia Civil en el exterior de la vivienda de Pablo Iglesias e Irene Montero en Galapagar (Madrid). Dicha cámara estaba destinada a vigilar esa zona exterior -no se mostraba el interior de la parcela- para evitar pintadas y potenciales intrusiones, y se desconoce durante cuánto tiempo la intrusión hizo que el acceso a sus imágenes fuera público.
Tras el aviso por parte de Podemos la Guardia Civil desconectó la cámara, la revisó, aumentó las medidas de seguridad y la volvió a conectar. La cámara se retiró una vez se instaló una garita de seguridad recientemente.
En Xataka nos hemos puesto en contacto con el Ministerio del Interior, que nos ha indicado que en la investigación se detectó que los responsables de la intrusión habían operado desde Singapur, pero no se logró encontrar a esos responsables y tampoco se sabe con precisión si realmente operaban desde allí o simplemente ocultaron sus huellas y simularon que el origen del ciberataque se produjo desde ese país.
Se desconoce cuál ha sido el fallo de seguridad que ha afectado a la cámara de vigilancia comprometida, y no hemos podido confirmar si se trataba de una vulnerabilidad en su firmware o quizás una mala configuración de algo tan crítico como el usuario y contraseña por defecto de acceso a las imágenes de esta cámara web.
La internet de las cosas, expuesta
El problema con esta cámara de seguridad ha creado una gran polémica por la relevancia pública de Pablo Iglesias e Irene Montero y la cercanía de las elecciones generales en España, pero es tan solo un ejemplo de la inseguridad que rodea a muchos de los dispositivos de la internet de las cosas.
Un análisis del tráfico de paquetes en una cámara IP recién conectada muestra cómo el malware Mirai era capaz de tomar control de la misma en tan solo 98 segundos.
En octubre de 2016 se produjo un gigantesco ataque de denegación de servicio (DDoS) que afectó a grandes centros de datos en Estados Unidos y a proveedores de DNS como Dyn. Sitios y plataformas web como GitHub, Airbnb, Imgur, PaPal, Pinterest, Twitter, Reddit o Spotify se vieron afectados por un ciberataque que dejó fuera de servicio o muy tocadas a estas plataformas durante horas.
En aquel ataque, explicaba el experto en seguridad Brian Krebs, la botnet se alimentó de millones de pequeños dispositivos conectados, sobre todo routers y cámaras de videovigilancia IP que contaban con una mala configuración de seguridad que dio acceso a todos esos productos a los responsables del ciberataque. Posteriores investigaciones han revelado lo sencillo que puede llegar a ser acceder a estos dispositivos: el malware Mirai era capaz de infectar una cámara IP en tan solo 98 segundos.
Este problema es especialmente delicado teniendo en cuenta las enormes implantaciones de cámaras de vigilancia que por ejemplo existen en China o que pretenden también instalarse en Estados Unidos para evitar tiroteos masivos.
En enero de 2019 conocíamos el caso de las cámaras Nest hackeadas que alertaron de un falso ataque de misiles desde Corea del Norte. Esos sistemas de videovigilancia instalados en las calles no demuestran ser especialmente efectivos en un estudio reciente en San Francisco, pero sus vulnerabildidades las pueden convertir en un problema mucho más grande del que pretenden solucionar, y lo mismo ocurre con otros muchos dispositivos de la internet de las cosas.
No cambiar la contraseña a estos dispositivos, que tienen configuradas por defecto claves tan sencillas como "123", puede ser fatal.
Las propias empresas que comercializan estos productos avisan de esos riesgos de seguridad, y apuntan a cómo en el caso de las cámaras de videovigilancia el fallo de seguridad más habitual es el de no configurar una contraseña distinta que la que viene por defecto. En junio de 2018 se descubría que millones de cámaras para monitorizar a bebés estaban afectadas por este problema, y en algunos casos la contraseña era un simple "123".
Los esfuerzos para proteger estos dispositivos van aumentando, y por ejemplo en Japón se anunció recientemente una curiosa iniciativa para intentar hackear los dispositivos de sus ciudadanos con el fin de ayudarlos a proteger mejor esos productos. Es un buen paso, pero aquí fabricantes (y usuarios) deben hacer un esfuerzo especial para proteger este tipo de productos y evitar así problemas de seguridad importantes.
Ver 48 comentarios
48 comentarios
eltoloco
Si esto mismo, o cualquiera otra barbaridad de las que se han hecho contra gente de Podemos, se lo hiciesen a cualquier político de derechas, el autor sería el criminal más buscado de España y se le acusaría de terrorismo o algo peor. Pero claro, son de Podemos y todo vale, el Watergate español es prueba de ello.
ilwp
Es curioso, yo pensaba que los comentarios irían mas en la línea de Linux (base d mucho hardware del IoT y servers que controlan las comunicaciones de estos aparatos) es seguro o no es seguro?
Algunos defendieron siempre que con Linux se acababan los problemas se seguridad al ser libre y la comunidad y bla bla bla.
Otros siempre dijimos que un sistema es tan seguro como popular y masivo se haga y las ganas de atacarlo que haya.
Pero me sorprendo al entrar y ver que alguno de los mayores combatientes del software libre entre para hacer un comentario POLITICO que NADA tiene que ver con la tecnología.
Que es la finalidad de esta web.
A ver si al final no importa ni la tecnología ni na de na y lo que importa es el discurso barato de turno que hay bajo una ideología política muy cercana a estar continuamente dando por saco aunque nadie le haya preguntado?
En cuanto a la noticia. Pues si, todo lo conectado es susceptible de ser hakeado en mayor o menor grado, pero casi mas importa las ganas de hacerlo y quien lo haga.
TOVI
No se ha hackeado nada, villajerjo sigue haciendo seguimiento xD
GAZPACHETE
Está el internet de las cosas pero también las cosas de internet.
imf017
Sí, sobretodo si eres un político influyente que está en contra del régimen.
omegaman
Aqui, la diferencia fundamental entre un hackeo por parte de "delincuentes comunes" y los hackers que han pirateado la señal de la cámara privada de Pablo Iglesias e Irene Montero, es que estos segundos tienen patente de corso del ministerio de interior y el delito se enterrará en montañas de burocracia. Cuando Jorge Fernandez daba ordenes en el ministerio, Rubalcaba decía aquello de que "El Estado pagará el coste de quitar a Puigdemont de en medio" y el objetivo de las alcantarillas del estado eran políticos catalanes, la "progresia" castellana silbaba y miraba a otro lado, ahora no os hagáis los sorprendidos cuando veis que la mierda os llega al cuello y la diferencia entre Turquía y España es solo el nombre y que unos están dentro y otros fuera de la UE (de momento)
carlmac
Esto no tiene nada que ver con la orientación política.. se trata de nuestra seguridad
acontracorriente
Desde Singapur, sí...
alfredoterceroesteban
Desde Singapur .........ya ,,,,
dsastre
Tengo un familiar, el cual, al hacerse el seguro de contenido del piso, el banco, le ha "obligado" a poner el sistema de seguridad que todos conocemos. No sería una locura si no fuera porque le han plantado una cámara en el salón. Yo desde luego no habría aceptado ese seguro, pero me temo que todas son similares
Usuario desactivado
Yo buscando algún entendido de tecnología que comentara como proteger las cámaras de vigilancia estas, y no, me encuentro con comentarios llenos de pedorreo que se cargan las tendencias políticas unas contra otras, vaya, yo pensé que eso sólo se daba acá en estos lares de México.
Y luego, cuando gane uno u otro, a gobernar tan mediocremente como el otro.
Saludos
elsindicalista
El principal problema es el total desconocimiento por parte de los usuarios y los riesgos a los que se exponen.
Usuario desactivado
Por dios, que basura de sistema de comentarios tenéis en xataka