Día tras día queda confirmado que la seguridad de los dispositivos pertenecientes al conocido como Internet de las Cosas no es lo mejor. Expertos en seguridad han corroborado que miles de cámaras IP están afectadas por vulnerabilidades zero-day, algo que pondría en peligro la privacidad de los usuarios. Pero lejos de resolver estos problemas, muchos fabricantes optan por mirar hacia otro lado.
No se trata de un problema “difícil” de solucionar, sobre todo porque estos están presentes en el servidor web que la mayoría de estos dispositivos poseen en su firmware. Este elemento permite a los usuarios conectarse a la cámara a través de su dirección IP y un navegador web y visualizar imágenes de la misma o bien llevar a cabo una configuración mucho más en profundidad que con respecto a las aplicaciones móviles.
De nuevo la actualización de los componentes es el principal problema. Las versiones de los servidores web que se están ejecutando en algunos casos datan de 2012. Además de no estar actualizados posee vulnerabilidades importantes que comprometerían la privacidad de los usuarios. Una de las más importantes que se ha detectado permite saltarse el procedimiento de inicio de sesión habitual en el portal web tras conceder permisos de edición al atacante del fichero que almacena las credenciales de acceso.
Además de visionar las imágenes, permite el control remoto del dispositivo y sin que el usuario sea consciente, lo que es un auténtico problema.
Las cámaras IP no recibirán parches para solucionar las vulnerabilidades zero-day
La situación es grave pero tampoco es necesario alarmarse. Los propietarios de las cámaras de los principales fabricantes pueden estar más o menos tranquilos, ya que si aparece alguna vulnerabilidad la posibilidad de que se resuelva es alta. El artículo está centrado sobre todo en aquellos dispositivos considerados de marcas blancas. Al menos 30 modelos diferentes se encuentran afectados por el fallo de seguridad descrito con anterioridad y por otros.
El problema es que, aunque sean diferentes dispositivos a nivel de hardware, el menú de configuración web es el mismo. Es decir, la versión de servidor web afectada es la misma, de ahí que compartan este y otros fallos de seguridad. Los expertos en seguridad afirman que son productos que poseen en el mercado un coste extremadamente bajo, de ahí que muchas veces digamos que lo barato a veces puede salir caro.
Obviamente, para evitar que los ciberdelincuentes saquen provecho de estos problemas de seguridad se ha omitido tanto el fabricante de las cámaras IP como el modelo.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
