En noviembre de 2014 escribí sobre cómo la web Insecam.org tenía en directo más de 73.000 cámaras dentro de su página, que podían ser consultadas mediante un buscador de países y ciudades. Su objetivo no es hackear cámaras, como hemos escuchado muchas veces, simplemente buscan y muestran aquellas que emiten información sin ningún sistema de seguridad. Cámaras que hay en nuestras calles, cámaras de tráfico, en aparcamientos, playas, pistas de esquí o cualquier cámara IP que emita imágenes a lo largo del mundo. Hay muchas cámaras abiertas y si tú quieres que la tuya aparezca en ese directorio, solo tienes que escribirles indicándoles la dirección de IP y a partir de ese momento todo el mundo podrá ver lo que estamos emitiendo.

El mayor problema está en que si hay una cámara que está recogiendo imágenes privadas pero no tiene contraseña de seguridad, cualquier persona (no solo los hackers) puede hacer un rastreo a la búsqueda de esas cámaras abiertas, aquellas que no disponen de ninguna medida de seguridad. Es lo que en el argot de la ciberseguridad se llama un honey pot, un tarro de miel sin tapa, abierto a que cualquier goloso pueda acceder a comerse todo lo que hay dentro. Si tenemos una cámara de seguridad en nuestra empresa que está, por ejemplo, apuntando a la puerta de entrada, o si la cámara de seguridad de un conocido político está enfocando a la calle, pero ninguna de las dos tiene activadas las medidas de protección contra el visionado por parte de terceras personas, es muy posible que en pocos días podamos ver en directo todo lo que emite desde la página de Insecam.org.

Olvidos No se trata por tanto de un hackeo de cámaras de seguridad, se trata de que quien instaló las cámaras, se olvido de proteger debidamente este dispositivo. Si escribes un correo electrónico a Insecam indicando que dejen de tener en su listado la cámara de la que eres propietario, la borran en segundos, pero ellos mismos te avisan que solo con activar la contraseña desaparecerá de forma automática. Las cámaras que enfocan monumentos famosos o en parques naturales donde se puede observar como se mueve la fauna por diferentes lugares están protegidos por contraseñas, pero los administradores de estos sitios utilizan un sistema que permite que Insecam muestre las imágenes.

El problema es que esta página, en principio, no distingue entre cámaras públicas, aquellas que están abiertas a que cualquier ciudadano las pueda consultar, y privadas, aquellas que no se pueden consultar pero que no disponen de las medidas de seguridad adecuadas y aparecen abiertas a todo el mundo. Por tanto, si disponemos de un circuito cerrado de televisión en nuestro comercio o empresa, es casi seguro que los instaladores sean una empresa seria y responsable que ha dejado activados todos los protocolos de seguridad que tienen estos dispositivos. Si hemos sido nosotros los que hicimos la instalación, deberemos tener en cuenta unas pequeñas normas para estar más seguros. La mayoría de los hackers conocen cuales son los modelos y marcas de cámaras que traen la contraseña de fábrica. Lo mismo que hemos dicho muchas veces que no dejemos la contraseña que viene por defecto en el router de acceso a Internet de nuestras casas, en esta ocasión lo primero que tenemos que hacer es cambiar no solo la contraseña, sino también el nombre de la cámara, ya que éste puede dar pistas a los cibercriminales. Otro día explicaremos cómo proteger las webcams de nuestros ordenadores portátiles.

@juandelaherran