Las cámaras de seguridad conectadas a Internet pueden usarse como elementos de una red inmensa de dispositivos encargados por atacar a sitios web, eso es lo que ocurrió recientemente en el ataque DDoS que nos dejó sin poder acceder a muchos de los más importantes sitios web del momento, y puede volver a ocurrir fácilmente.
Ya vimos en su momento que una marca china de cámaras de seguridad había sido bastante usada durante el ataque: los hackers invadían las cámaras y las infectaban para que comenzasen a realizar peticiones a una dirección IP específica, causando su caída en pocos segundos. El paso a paso era el siguiente:
– Una cámara de seguridad conectada a Internet tiene una puerta trasera, un login y contraseña sencillo de adivinar, que permite que personas no autorizadas entren en su sistema.
– Un hacker entra en dicha cámara usando el login y contraseña (a veces basta con escribir admin/admin) e infecta el sistema con un programa malicioso.
– Cuando millones de cámaras están infectadas, se les pide que todas ellas accedan a una página web o dirección IP específica, derrumbándola en pocos segundos, ya que ningún servidor del mundo es capaz de recibir millones de visitas por segundo sin parpadear.
– Los administradores del servidor atacado no consiguen solucionar el problema, ya que las «visitas» (lo ponemos entre comillas porque son más peticiones que visitas) vienen de diferentes partes del mundo, siendo difícil bloquearlas en grupo.
Ahora la sorpresa llega cuando un grupo de especialistas de SEC Consult descubre que 80 modelos de las cámaras de seguridad (de las caras) de Sony cuentan también con una puerta trasera, y en este caso hablamos de cámaras adquiridas por organizaciones y gobiernos capaces de pagar grandes cantidades por ellas.
Un conjunto de contraseñas permite acceder a la interfaz web y ofrece la posibilidad de que un atacante remoto acceda el servicio Telnet en la cámara, mientras que una segunda contraseña puede usarse para tomar el control total de la cámara a través de Telnet. Los investigadores establecieron que la contraseña es estática, y aunque aún no la han descubierto, dicen que es solo cuestión de tiempo, ya que las combinaciones posibles son limitadas.
Al invadir una cámara se puede interrumpir su funcionalidad, enviar imágenes y videos manipulados, agregar las cámaras a una botnet de Mirai o simplemente espiar a sus usuarios.
Sony informó sobre el problema en octubre y lanzó actualizaciones de firmware para todos los modelos de cámara afectados el 28 de noviembre. Se recomienda a los usuarios instalar estas actualizaciones lo antes posible.
Una búsqueda a través de Censys.io reveló alrededor de 4.000 cámaras de seguridad de Sony conectadas a Internet, aunque no todas ellas son vulnerables.