Una pregunta recurrente que tiene muchas personas al tener cámaras de seguridad, es:
¿Será segura o me estará viendo alguien?
Si tienes cámaras de seguridad en casa o en el trabajo es normal hacerte esta pregunta. Al principio, la sensación de vulnerabilidad al instalar cámaras es común, pero con el tiempo suele desaparecer. Sin embargo, que la sensación se desvanezca no significa que una vulnerabilidad real no persista.
Por esta razón, cada cierto tiempo compruebo si mis cámaras están siendo vulnerables. Esto implica no solo usar contraseñas seguras y cambiarlas regularmente, sino también verificar la posible existencia de un backdoor, es decir, una puerta trasera.
Portales como Shodan recopilan información sobre dispositivos conectados a Internet. Si encuentran tu cámara, mostrarán información sobre sus puertos abiertos y servicios, independientemente de si está protegida o no. En algunos casos, esto podría revelar la posibilidad de acceso. Si está protegida con una contraseña, alguien podría utilizar fuerza bruta para acceder. Dependiendo de la robustez de la contraseña tardará más o menos tiempo. En el caso de que Shodan encuentre un backdoor, entonces la contraseña no servirá de nada, pues estaremos accediendo a la cámara por otro lugar.
No me detendré en explicar cómo crear una contraseña robusta, ya que se considera una práctica fundamental de seguridad. Lo que voy a exponer es un caso que me ha ocurrido esta misma semana y explicaré cómo he actuado y como he localizado al propietario.
¿Qué harías tú si alguien te advierte de que tienes una cámara abierta?
Lo primero de todo que hice fue geolocalizar la IP, porque si no sé en qué país y ciudad está de poco serviría.
Una vez localizada la zona, busqué en las imágenes de las cámaras alguna indicación, logo, dibujo o descripción que me ofreciera una pista sobre su ubicación. En principio, la cámara interior no reveló nada concluyente.
A continuación, me fijé en la cámara exterior. Esta cámara ofrecía una visión amplia de la calle y de algunos escenarios singulares. Además, la calle comenzaba en forma de T, lo que permitía reducir enormemente el área de búsqueda a las posibles ubicaciones en las tres direcciones de la intersección.
Tenía varios elementos para poder iniciar una búsqueda. Así que comencé buscando calles en T.
Pero antes de comenzar volví a revisar el interior, y tomé nota del siguiente detalle.
Se ha ofuscado la imagen para mantener la privacidad.
El círculo rojo indica una descripción de «TALLER DE RELLOTGERIA» y unas marcas comerciales. Estas descripciones parecía estar en una ventana translúcida.
Ahora buscaríamos todas las calles en Google Map y comprobaremos las marcas buscando coincidencias.
Después de buscar durante un rato, encuentro un lugar que se asemeja.
La pared gris 1 y el escaparate 2 coincidían, además de que el 3 tambien tenia un cristal translucido con nombres de marcas.
Ahora solo faltaba buscar información de este taller de relojería.
Una simple búsqueda en Google «Taller Rellotgería Manel Alabart» nos llevaría a su página web.
Al leer la descripción, comprendí el arduo trabajo de esta persona, y decidí comunicárselo para que fuera consciente de la situación. Un grupo de cámaras de seguridad sin protección representa un peligro real, no solo por la amenaza de robos, sino también por el riesgo de espionaje industrial por parte de la competencia o incluso por organizaciones con otros intereses.
Me puse en contacto con ellos directamente, sin ningún tipo de anonimización. Lo sé, la práctica habitual incluso para las buenas acciones es ofuscar la identidad. Sin embargo, en este caso concreto, la intrusión fue mínima e involuntaria, por lo que no me preocuparon las posibles consecuencias, confiando en el principio de buena fe.
¿Qué os imagináis que ocurrió a continuación?
Pues bien, he advertido en innumerables ocasiones a empresas sobre diversas vulnerabilidades, desde cámaras abiertas sin seguridad alguna, hasta acceso directo a PCs con datos sensibles como nóminas, fichas de trabajadores, balances de cuentas o incluso datos confidenciales de laboratorios de investigación I+D. Siempre, y digo absolutamente siempre, me han agradecido mi acción.
Pero en este caso, lean por ustedes mismos:
¿Qué os imagináis que ocurrió a continuación?
Es decir, leyó el primer mensaje, el segundo y el tercero ni se molestó en mirarlos. Ni una respuesta al respecto.
¿Hice bien? yo creo que sí. Os leo en los comentarios.
