Formas prácticas de evitar que pirateen las cámaras de seguridad de su hogar

Mar 24, 2024

Nuestro personal experto y galardonado selecciona los productos que cubrimos e investiga y prueba rigurosamente nuestras mejores opciones. Si compra a través de nuestros enlaces, es posible que obtengamos una comisión. Reseñas declaración de ética

Manténgase alejado de los ojos espías cuando se trata de la transmisión de la cámara de seguridad de su hogar.

Estas mejores prácticas pueden ayudar a proteger la cámara de seguridad de su hogar y la privacidad de sus datos.

Instalar una cámara de seguridad conectada a Internet en su casa no necesariamente traerá una ola de piratas informáticos a su red Wi-Fi, pero desafortunadamente ya ha sucedido antes. Por ejemplo, en 2020, un cliente de seguridad para el hogar de ADT notó una dirección de correo electrónico desconocida conectada a su cuenta de seguridad para el hogar, un sistema monitoreado profesionalmente que incluía cámaras y otros dispositivos dentro de su hogar. Ese simple descubrimiento, y su informe a la empresa, comenzaron a derribar una larga fila de fichas de dominó que conducían hasta un técnico que había espiado, durante cuatro años y medio, a cientos de clientes, observándolos vivir su vida. vida privada, desnudarse e incluso tener relaciones sexuales.

ADT dice que ha cerrado las lagunas que los técnicos explotaron, implementando "nuevas salvaguardas, capacitación y políticas para fortalecer... la seguridad de la cuenta y la privacidad del cliente". Pero las invasiones de la privacidad no son exclusivas de ADT y algunas vulnerabilidades son más difíciles de salvaguardar que otras.

Ya sea que esté utilizando sistemas de seguridad monitoreados profesionalmente como ADT, Comcast Xfinity o Vivint, o simplemente tenga algunas cámaras independientes de compañías disponibles en el mercado como Ring, Nest o Arlo, aquí hay algunas prácticas que pueden ayudar proteja la seguridad de su dispositivo y la privacidad de sus datos. (Para obtener más consejos de seguridad para el hogar, descubra los mejores lugares para colocar sus cámaras de seguridad y los mejores sistemas de seguridad para el hogar económicos que pueda comprar).

Antes de lanzarse a resolver los problemas de inseguridad de los dispositivos, es útil comprender qué tan vulnerables son realmente sus dispositivos.

Los principales sistemas de seguridad monitoreados profesionalmente (e incluso cámaras vendidas individualmente por desarrolladores acreditados como Google Nest y Wyze) incluyen cifrado de alto nivel (que codifica los mensajes dentro de un sistema y otorga acceso a través de claves) casi en todos los ámbitos. Eso significa que, siempre que se mantenga actualizado con las actualizaciones de aplicaciones y dispositivos, no debería tener mucho que temer de ser pirateado a través de vulnerabilidades de software o firmware.

Asimismo, muchas empresas de seguridad que utilizan instaladores y técnicos profesionales cuentan con procedimientos estrictos para evitar precisamente lo que sucedió en ADT. La Security Industry Association, un grupo externo de expertos en seguridad, asesora a fabricantes como ADT en cuestiones relacionadas con la privacidad y la seguridad.

"La industria de la seguridad ha estado prestando atención [al tema de la privacidad en el hogar] desde 2010", dijo Kathleen Carroll, presidenta del Consejo Asesor de Privacidad de Datos de la SIA, "y continuamos trabajando para ayudar a nuestras empresas miembro a proteger a sus clientes. "

Las cámaras de seguridad son cada año más baratas, pero eso no significa que los clientes deban sentirse cómodos renunciando a su privacidad.

Algunos sistemas monitoreados profesionalmente, como Comcast y ahora ADT, abordan el problema simplemente limitando estrictamente las acciones que los técnicos pueden realizar mientras ayudan a los clientes con sus cuentas; por ejemplo, impidiéndoles agregar direcciones de correo electrónico a las cuentas o acceder a clips grabados.

"Tenemos un equipo en Comcast dedicado específicamente a la seguridad con cámaras", dijo un portavoz de Comcast. "Nuestros técnicos e instaladores no tienen acceso a las transmisiones de video ni a los videos grabados de nuestros clientes, a los que sólo puede acceder un pequeño grupo de ingenieros, bajo condiciones monitoreadas, para cuestiones como la resolución de problemas técnicos".

"Sólo los clientes pueden decidir quién puede acceder a su sistema Vivint, incluidas sus transmisiones de vídeo", dijo un portavoz de la empresa de seguridad para el hogar Vivint. "Como usuarios administradores, pueden agregar, eliminar o editar configuraciones de usuario. Y... regularmente llevamos a cabo una variedad de auditorías manuales y automáticas de nuestros sistemas".

Con los sistemas de bricolaje, los clientes configuran sus propios dispositivos, lo que hace que el acceso de los técnicos sea un punto discutible. Pero si los clientes optan por un seguimiento adicional, que a menudo se ofrece junto con productos individuales, eso puede complicar el problema.

Hay más cámaras disponibles para comprar que nunca, ya sea que opte por un sistema de seguridad monitoreado profesionalmente o una alternativa de bricolaje.

Una de esas empresas, Frontpoint, dijo en un correo electrónico que restringe estrictamente el acceso del personal a la información del cliente, impidiendo, por ejemplo, que los agentes vean las transmisiones de las cámaras de los clientes, excepto en casos específicos en los que se obtienen permisos del cliente, por ejemplo. con el fin de solucionar problemas u otros tipos de asistencia.

Un representante de SimpliSafe, otro desarrollador que se encuentra en la línea entre el bricolaje y la seguridad doméstica instalada profesionalmente, respondió de manera más amplia a las preguntas sobre sus procedimientos: "Gran parte de nuestro trabajo diario se centra en mantener nuestros sistemas para que las vulnerabilidades se identifiquen inmediatamente y "Este enfoque implacable incluye protocolos de seguridad internos y externos".

En resumen, las empresas de seguridad parecen estar utilizando conscientemente múltiples niveles de seguridad para proteger a los clientes de posibles abusos por parte de instaladores y técnicos, incluso si los procesos mediante los cuales lo hacen no son del todo transparentes. Pero incluso si son efectivas, eso no significa que sus cámaras inteligentes sean totalmente seguras.

El caso ADT técnicamente no requirió ningún tipo de piratería por parte del técnico, pero ¿qué pasa si se trata de piratería? Después de todo, hay muchos casos de ataques remotos. E incluso los dispositivos de calidad con altos niveles de cifrado no están necesariamente a salvo de la piratería, dadas las circunstancias adecuadas.

Hay dos formas principales en que un pirata informático puede obtener el control de una transmisión de video, dijo a CNET el experto en seguridad Aamir Lakhani de FortiGuard: localmente y de forma remota.

Para acceder a una cámara localmente, un pirata informático debe estar dentro del alcance de la red inalámbrica a la que está conectada la cámara. Allí, necesitarían obtener acceso a la red inalámbrica utilizando diversos métodos, como adivinar la contraseña de seguridad con fuerza bruta o falsificar la red inalámbrica e interferir con la actual.

Dentro de una red local, algunas cámaras de seguridad más antiguas no están cifradas ni protegidas con contraseña, ya que la seguridad de la red inalámbrica en sí misma a menudo se considera un elemento disuasorio suficiente para mantener a raya los ataques maliciosos. Entonces, una vez en la red, un pirata informático no tendría que hacer mucho más para tomar el control de las cámaras y potencialmente de otros dispositivos de IoT en su casa.

Hackear enrutadores directa y localmente es una ruta, aunque poco común, para acceder a la señal de una cámara de seguridad.

Sin embargo, es poco probable que los ataques locales te afecten, ya que requieren una intención centrada en el objetivo. Los ataques remotos son el escenario mucho más probable y los ejemplos surgen con bastante frecuencia en el ciclo de noticias. Algo tan común como una violación de datos, como las de Equifax o Delta, podría poner sus credenciales de inicio de sesión en las manos equivocadas y, salvo cambiar su contraseña con frecuencia, no hay mucho que pueda hacer para evitar que esto suceda.

Incluso si la empresa de seguridad que utiliza (supervisada profesionalmente o no) tiene seguridad sólida y cifrado de extremo a extremo, si utiliza las mismas contraseñas para sus cuentas que en otros lugares de Internet y esas credenciales se ven comprometidas, su privacidad Está en riesgo. (Si aún no lo ha hecho, definitivamente debería comenzar a usar un administrador de contraseñas para realizar un seguimiento de todas sus contraseñas seguras y únicas).

Y si los dispositivos que utiliza son anticuados, ejecutan software desactualizado o simplemente productos de fabricantes que no priorizan la seguridad, las posibilidades de que su privacidad se vea comprometida aumentan significativamente.

Para los piratas informáticos con un poco de conocimiento, encontrar el próximo objetivo con un video no seguro está a solo una búsqueda en Google. Un número sorprendente de personas y empresas instalan sistemas de cámaras de seguridad y nunca cambian el nombre de usuario y la contraseña predeterminados. Ciertos sitios web, como Shodan.io, muestran lo fácil que es acceder a transmisiones de vídeo no seguras como estas, agregándolas y mostrándolas para que todos las vean.

Sería casi imposible saber si su cámara de seguridad (o quizás, lo que es más inquietante, su monitor de bebé) ha sido pirateada. Los ataques podrían pasar completamente desapercibidos para un ojo inexperto y la mayoría de las personas no sabrían por dónde empezar a mirar para comprobarlo.

Una señal de alerta de alguna actividad maliciosa en una cámara de seguridad es un rendimiento lento o peor que el normal. "Muchas cámaras tienen memoria limitada, y cuando los atacantes aprovechan las cámaras, los ciclos de la CPU tienen que trabajar más duro, haciendo que las operaciones regulares de la cámara a veces sean casi o totalmente inutilizables", dijo Lakhani.

Por otra parte, un rendimiento deficiente no es únicamente indicativo de un ataque malicioso: podría tener una explicación perfectamente normal, como una conexión a Internet o una señal inalámbrica deficientes.

Algunos dispositivos, como las pantallas Echo Show más nuevas de Amazon, cuentan con contraventanas físicas para cubrir las cámaras cuando no están en uso.

Si bien ningún sistema es inmune a un ataque, algunas precauciones pueden disminuir aún más las probabilidades de ser pirateado y proteger su privacidad en caso de un ataque.

Otro paso importante es simplemente evitar las condiciones para una invasión de la privacidad. Los ataques son poco probables y se pueden evitar en gran medida, pero mantener las cámaras fuera de las habitaciones privadas y apuntar hacia las entradas de la casa es una buena manera de evitar los peores resultados potenciales de un ataque.

Lakhani también sugirió instalar cámaras de seguridad independientes en una red propia. Si bien esto sin duda frustraría sus planes para la casa inteligente perfecta, ayudaría a evitar "aterrizar y expandirse", un proceso mediante el cual un atacante obtiene acceso a un dispositivo y lo utiliza para tomar el control de otros dispositivos conectados en la misma red.

Yendo un paso más allá, puedes usar una red privada virtual, o VPN, para restringir aún más qué dispositivos pueden acceder a la red en la que se encuentran las cámaras de seguridad. También puede registrar toda la actividad en la red y asegurarse de que no ocurra nada inusual allí.

Nuevamente, las posibilidades de ser víctima de un ataque como este son bastante pequeñas, especialmente si sigues las precauciones de seguridad más básicas. El uso de los pasos anteriores proporcionará múltiples capas de seguridad, lo que hará que sea cada vez más difícil para un atacante tomar el control.

Corrección, 11 de febrero de 2021 : Una versión anterior de este artículo indicaba erróneamente cuando ADT buscó asesoramiento de la SIA. El trabajo de ADT con la SIA es anterior al descubrimiento del abuso del técnico en 2020.