Este buscador de cámaras de vigilancia privada de bebés no es el único problema de privacidad del IoT

Este buscador de cámaras de vigilancia privada de bebés no es el único problema de privacidad del IoT

1 comentario Facebook Twitter Flipboard E-mail
Este buscador de cámaras de vigilancia privada de bebés no es el único problema de privacidad del IoT

Paladea con deleite el sabor amargo de cerveza bajando suavemente por su gaznate, y retira con cuidado los restos de espuma que han quedado atrapados sobre sus labios. Mira al horizonte y maldice en silencio que las vacaciones no se alarguen una semana más. Decide comprobar entonces cómo van las cosas por casa y enciende el teléfono para acceder a la cámara del salón y revisar quién ha llamado al timbre.

Si te sientes identificado con el párrafo anterior y confías tu seguridad a puertas que se abren mediante aplicaciones, persianas que se cierran solas y, en definitiva, al Internet de las Cosas, quizás deberías cambiar tus hábitos o tomar precauciones. ¿La razón? Que esta clase de aparatos presentan no pocas vulnerabilidades. Una realidad que ahora vuelve a evidenciar Shodan, un motor de búsquedas capaz de identificar, prácticamente, toda clase de dispositivos “poco confiables”.

El filtro de Shodan

De esta manera, Ars Technica ha encontrado que el buscador integra un filtro (port:554 has_screenshot:true) que permite acceder a las imágenes de aquellas cámaras vulnerables que usen el protocolo RTSP (Real Time Streaming Protocol); algo que hace posible que curiosos y malintencionados tengan la opción de observar las casas particulares de la gente, espacios residenciales, garajes, y hasta a los bebés monitorizados con intercomunicadores y similares.

Para poder hacerlo, basta con registrarse en la página web e introducir el citado texto en el recuadro correspondiente. Momento a partir del cual –y sin necesidad de poseer ningún tipo de conocimiento técnico- se mostrará ante nosotros una página repleta de “material” desde tipo, así como su procedencia, localización, fecha y hora de la captura, servidor y demás; algo que, sin duda, pone los pelos de punta.

Otros casos

Sin embargo, no es la primera vez que se habla de Shodan en esta clase de contextos, sino que esta herramienta puesta en marcha en 2009, es conocida popularmente como el “Google de los hackers” e incluso definida por su creador –John Matherly- como “el buscador más aterrador del mundo”. El motivo es que recaba todas las direcciones HTTP conectadas a Internet y localiza cualquier aparato que sea visible, desde wearables, hasta lavadoras inteligentes y webcams.

Eso quiere decir que, cualquiera con los conocimientos adecuados y peores intenciones, podría tener acceso a estos dispositivos para hacer “lo que le viniese en gana”, especialmente si estos conservan la contraseña predeterminada. Algo similar a lo que hace Censys, entre otras (o sea, no es única en su especie).

Por otra parte y respecto a la vulnerabilidad de las webcams, tampoco es un asunto nuevo. De hecho, recientemente te hablamos de @FFD8FFDB, un bot que podría estar espiándote y que forma parte de un proyecto diseñado por el desarrollador Dereck Arnold, y que pone de manifiesto lo fácil que resulta rebasar nuestra privacidad en la red.

Cualquiera con los conocimientos adecuados y peores intenciones podría tener acceso a estos dispositivos para hacer “lo que le viniese en gana”

Cuando el asunto incluye menores, la cuestión se torna más peliaguda. Algo que, por desgracia, nos hace recordar casos como el de la muñeca My Friend Cayla y juguetes potencialmente peligrosos como la Hello Barbie; por no hablar de la nueva política de espionaje que pretende implementar el Reino Unido. El pasado septiembre, además, la empresa Rapid7 publicó otro informe en el que demostraba que los monitores de bebe siguen siendo vulnerables a los ataques de los hackers.

Qué soluciones se barajan

Info

Para paliar y poner fin a esta clase de incursiones, la FTC (Comisión Federal de Comercio de los EUA) ya se ha encargado de advertir de aquellas compañías que no cumplen con las medidas básicas de seguridad y ha emitido una guía de mejores prácticas para que los desarrolladores puedan ponerlas en marcha.

Asimismo, ha solicitado al Congreso tener la autoridad necesaria para solicitar demandas civiles para aquellos organismos que incumplan el protocolo. La entidad incluso llegó a lanzar una serie de talleres para que las empresas mejoraran sus sistemas de seguridad. Y firmas de seguridad como Check Point también han publicado sus propias recomendaciones.

Iniciativas como las del grupo de investigadores de I Am The Cavalry, que desarrollan un sistema de clasificación para dispositivos IoT basándose en criterios como si estos productos usan contraseñas débiles, etcétera; también podrían ser de gran utilidad, al menos para mantener a los consumidores más informados; el quid de la cuestión para que estos tomen medidas, al fin y al cabo.

En Genbeta | @FFD8FFDB, así se llama el bot que podría estar espiándote

Comentarios cerrados
Inicio