Un elemento clave de cualquier sistema de seguridad dom\u00e9stico es una videoc\u00e1mara conectada a internet. Las hay de todo tipo: desde c\u00e1maras para ni\u00f1eras y videoporteros hasta sofisticadas c\u00e1maras motorizadas para la videovigilancia profesional.<\/p>\n
Las c\u00e1maras IP est\u00e1n conectadas, ya sea de forma permanente o peri\u00f3dica, y las grabaciones suelen estar disponibles en el servicio especializado del propio proveedor. Por tanto, iniciar sesi\u00f3n en este servicio te concede acceso a la retransmisi\u00f3n de la c\u00e1mara desde cualquier parte del mundo. El problema es que la alternativa, una c\u00e1mara accesible solo desde una red local, resulta poco atractiva para los clientes.<\/p>\n
Esto plantea una serie de preguntas: \u00bfY si los ciberdelincuentes roban tus credenciales de inicio de sesi\u00f3n? \u00bfSon seguros los sistemas de videovigilancia en la nube? \u00bfPueden los atacantes acceder a las grabaciones sin necesidad de hackear<\/em> tu cuenta? Hay informaci\u00f3n muy sensible en juego, im\u00e1genes y v\u00eddeos de tu casa podr\u00edan caer en las manos equivocadas.<\/p>\n Anker ya conoc\u00eda todos estos miedos cuando lanz\u00f3 su propia l\u00ednea de c\u00e1maras IP bajo la marca Eufy. Fundada en el 2011, Anker no es ning\u00fan novato en la industria electr\u00f3nica. Empez\u00f3 con cargadores y accesorios para smartphones<\/em> y port\u00e1tiles y poco a poco ha ido fabricando toda una variedad de dispositivos electr\u00f3nicos port\u00e1tiles para todos los gustos y necesidades, incluidos los videoporteros y las c\u00e1maras de seguridad.<\/p>\n Captura de pantalla de la web de Eufy donde promete una protecci\u00f3n completa de los datos de los usuarios.<\/p><\/div>\n En un anuncio del sitio de Eufy<\/a>, los desarrolladores de la c\u00e1mara garantizan la m\u00e1xima privacidad sin el uso de la nube: todos los datos se almacenan en local de forma segura. La funci\u00f3n de videovigilancia en remoto se puede desactivar por completo, pero si quieres ver lo que sucede en tu casa, la c\u00e1mara cifrar\u00e1 la grabaci\u00f3n y la emitir\u00e1 en una aplicaci\u00f3n de tu smartphone<\/em>, el \u00fanico sitio en el que se descifrar\u00e1. Esto es lo que se conoce como un cifrado de extremo a extremo, lo que significa que nadie, ni siquiera el proveedor, puede acceder a los datos.<\/p>\n Tambi\u00e9n cabe destacar que el sistema de reconocimiento se ejecuta directamente en el propio dispositivo. Es la IA incorporada en cada c\u00e1mara la que analiza la grabaci\u00f3n sin necesidad de retransmitir nada a los servidores de la compa\u00f1\u00eda. Tambi\u00e9n identifica a la gente de la pantalla e, incluso, diferencia a los caseros e inquilinos de los extra\u00f1os, para que el propietario de la c\u00e1mara reciba una notificaci\u00f3n \u00fanicamente cuando aparezca en escena una cara desconocida.<\/p>\n Eufy promete privacidad total garantizada. No obstante, los usuarios se llevaron una peque\u00f1a sorpresa: las c\u00e1maras Eufy funcionan diferente en segundo plano.<\/strong> El 23 de noviembre, el brit\u00e1nico experto en seguridad Paul Moore tuite\u00f3<\/a> un v\u00eddeo<\/a> culpando a Eufy de enviar datos a la nube, incluso cuando esta opci\u00f3n est\u00e1 desactivada.<\/p>\n Uno de los tuits de Paul Moore sobre los problemas de seguridad de los datos que reciben las c\u00e1maras.<\/p><\/div>\n El v\u00eddeo de Moore es una demostraci\u00f3n detallada del problema, el cual detect\u00f3 bastante r\u00e1pido. Despu\u00e9s de instalar un videoportero de la marca, Paul inici\u00f3 sesi\u00f3n en la interfaz web del dispositivo, donde analizaba el c\u00f3digo fuente en el navegador y mostr\u00f3 que la c\u00e1mara enviaba una imagen al servidor del proveedor cada vez que alguien aparec\u00eda en pantalla. Esto confirma que al menos una de las garant\u00edas de Eufy (nada de nubes) es mentira.<\/p>\n Despu\u00e9s, Moore tuite\u00f3 varias veces m\u00e1s sobre otros problemas de protecci\u00f3n de datos m\u00e1s serios. En apariencia, el cifrado de \u201cconfianza\u201d de Eufy utiliza<\/a> una clave id\u00e9ntica para todos los usuarios. Y, lo que es peor, esta clave aparece en el c\u00f3digo de Eufy que public\u00f3 la propia compa\u00f1\u00eda en GitHub<\/a>. M\u00e1s tarde, el sitio de tecnolog\u00eda The Verge<\/em>, en relaci\u00f3n con Moore y otro experto de seguridad, confirm\u00f3<\/a> el peor de los casos: al parecer, cualquier persona con conexi\u00f3n a internet puede ver el v\u00eddeo con tan solo conectarse a una direcci\u00f3n \u00fanica del dispositivo.<\/p>\n Podr\u00eda decirse que el problema de la carga en la nube de la grabaci\u00f3n tiene una explicaci\u00f3n completamente l\u00f3gica. En teor\u00eda, las c\u00e1maras de Eufy funcionan de la siguiente forma: instalas la c\u00e1mara en tu casa y configuras la aplicaci\u00f3n en el m\u00f3vil. Cuando alguien presiona el bot\u00f3n de llamada inteligente o el sistema de reconocimiento percibe a alguien en la imagen, recibes una notificaci\u00f3n en tu smartphone<\/em> con una foto. La \u00fanica forma de enviar estas notificaciones es a trav\u00e9s de la nube. Entonces, \u00bfpor qu\u00e9 promete Eufy una experiencia sin nube? \u00a1Esa es una buena pregunta!<\/p>\n \u00bfY lo de poder ver la grabaci\u00f3n en remoto? Para evitar que la vulnerabilidad se explote en masa, The Verge<\/em> y sus fuentes no han divulgado toda la informaci\u00f3n sobre este problema, pero s\u00ed se conocen ciertos aspectos.<\/p>\n En primer lugar, el cifrado prometido no se utiliza para enviar la grabaci\u00f3n, de hecho, no se llega a cifrar en ning\u00fan momento y puede visualizarse desde cualquier reproductor, como VLC.<\/p>\n En segundo lugar, para acceder a una c\u00e1mara en concreto, necesitas su direcci\u00f3n URL \u00fanica, es decir, su direcci\u00f3n en internet. Pero esas direcciones se generan de una forma muy predecible: teniendo en cuenta el n\u00famero de serie impreso en la caja, la fecha y la hora; a todo esto le a\u00f1aden una cifra aleatoria de 4 d\u00edgitos (para m\u00e1s \u201cseguridad\u201d), que se puede sacar f\u00e1cilmente con fuerza bruta.<\/p>\n Lo \u00fanico que protege al propietario de la c\u00e1mara del atacante en conocimiento del n\u00famero de serie del dispositivo es que la c\u00e1mara no env\u00eda constantemente datos online; primero debe activarse, por ejemplo, presionando el bot\u00f3n del timbre, momento en el que se puede conectar el intruso.<\/p>\n Se pidi\u00f3 a Anker, fabricante de Eufy, que confirmara o negara estas alegaciones, pero no hizo m\u00e1s que complicar la situaci\u00f3n. Tal y como afirman The Verge<\/em> y Ars Technica<\/em><\/a>, los desarrolladores negaron por completo la existencia de cualquier problema de seguridad y, cuando se les pregunt\u00f3 por estos problemas en espec\u00edfico, publicaron dos declaraciones que se desmintieron m\u00e1s adelante.<\/p>\n En la primera declaraci\u00f3n, la empresa \u201cconfirmaba\u201d que era imposible ver la grabaci\u00f3n de la c\u00e1mara en directo, pero The Verge<\/em> pudo hacerlo sin problema usando dos de sus propias c\u00e1maras Eufy. En la segunda, el proveedor admiti\u00f3 que la grabaci\u00f3n del portero se env\u00eda a los servidores de la compa\u00f1\u00eda, pero solo para garantizar que esas mismas notificaciones se entregan al smartphone, despu\u00e9s las im\u00e1genes se eliminan. Pero esto tambi\u00e9n fue desmentido<\/a> por Moore con una simple prueba<\/a>: despu\u00e9s de ver las fotos de la c\u00e1mara en su cuenta personal, guard\u00f3 la URL de las im\u00e1genes y las elimin\u00f3 del tel\u00e9fono. Aunque las im\u00e1genes desaparecieron de su cuenta personal, Moore segu\u00eda pudiendo acceder a ellas simplemente introduciendo las URL que hab\u00eda guardado en la barra del navegador.<\/p>\n El otro investigador fue m\u00e1s all\u00e1<\/a>: despu\u00e9s de restaurar por completo la videoc\u00e1mara, lo que elimin\u00f3 todos los v\u00eddeos guardados en su cuenta, volvi\u00f3 a vincular el dispositivo a su cuenta y \u00a1vio los videos que supuestamente estaban eliminados!<\/p>\n Como norma general, los est\u00e1ndares \u00e9ticos en la industria de la seguridad han evolucionado y entre ellos se encuentra la divulgaci\u00f3n de la informaci\u00f3n sobre vulnerabilidades y c\u00f3mo deben responder los proveedores. Pero en el caso de Eufy, donde todo se hab\u00eda ido por la borda, en lugar de conceder a la compa\u00f1\u00eda la oportunidad de solucionar estos problemas, los investigadores hicieron p\u00fablicas estas vulnerabilidades de inmediato.<\/p>\n Despu\u00e9s, para echar m\u00e1s le\u00f1a al fuego, Eufy decidi\u00f3 refutar las afirmaciones de los expertos independientes sin pruebas t\u00e9cnicas; de hecho, el \u00fanico cambio que not\u00f3 Moore despu\u00e9s de sus publicaciones incriminatorias fue que los enlaces a las grabaciones de las c\u00e1maras, que anteriormente se mostraban en lenguaje HTML claro, ahora estaban ofuscados. Es decir, la informaci\u00f3n segu\u00eda pasando por el servidor de Eufy, solo que ahora era m\u00e1s complicado rastrearla.<\/p>\n Por consiguiente, el proveedor rompi\u00f3 otra promesa en su sitio web, aparentemente con la intenci\u00f3n de que nadie lo comprobara. Pero esta pr\u00e1ctica no solo viola la promesa de la compa\u00f1\u00eda, sino tambi\u00e9n las leyes regionales de protecci\u00f3n de datos de los usuarios, como el RGPD de la UE.<\/p>\n El caso de Eufy sigue bastante reciente y se necesitar\u00eda una investigaci\u00f3n m\u00e1s a fondo para demostrar definitivamente que cualquier intruso podr\u00eda interceptar las grabaciones de la c\u00e1mara IP de un usuario particular. Sin embargo, hay otros ejemplos de problemas de seguridad a\u00fan m\u00e1s graves. Por ejemplo, en el 2021, se descubri\u00f3 que las c\u00e1maras IP del proveedor chino Hikvision conten\u00edan<\/a> una vulnerabilidad cr\u00edtica que conced\u00eda al atacante el control total sobre el dispositivo. La compa\u00f1\u00eda lanz\u00f3 un parche para solucionarlo, pero incluso despu\u00e9s de un a\u00f1o, miles de videoc\u00e1maras de todo el mundo siguen vulnerables y accesibles a la espera del ataque de cualquier curioso. Por desgracia, lo m\u00e1s probable es que los propietarios de este tipo de dispositivos no est\u00e9n al corriente de la vulnerabilidad, lo que puede llevar al peor de los escenarios.<\/p>\n Por tanto, volvemos a enfrentarnos a las mismas preguntas de siempre: \u00bfqui\u00e9n es el culpable y qu\u00e9 podemos hacer? Por desgracia, la industria del IdC no est\u00e1 nada estandarizada. No existen una serie de normas generalizadas que puedan aportar al menos un m\u00ednimo de seguridad y con las que los proveedores protejan sus dispositivos, con ayuda de los recursos disponibles y sus propias nociones de seguridad. Recae en el usuario decidir en qu\u00e9 proveedor confiar.<\/p>\n Como afirma Ars Technica<\/em><\/a>, si tu dispositivo tiene una lente y conexi\u00f3n wifi, tarde o temprano alguien encontrar\u00e1 un agujero de seguridad en \u00e9l. Lo curioso es que otros dispositivos con caracter\u00edsticas similares, como las c\u00e1maras de los port\u00e1tiles o los smartphones<\/em>, est\u00e1n mucho mejor protegidos: un indicador muestra cu\u00e1ndo est\u00e1 la c\u00e1mara en uso y las soluciones de seguridad<\/a> monitorizan las aplicaciones y bloquean los accesos sin autorizaci\u00f3n que reciben.<\/p>\n\n Por otro lado, las c\u00e1maras de vigilancia IP funcionan de forma aut\u00f3noma, a veces 24\/7. Por desgracia, hasta que aparezca un sistema generalmente aceptado para la evaluaci\u00f3n de la seguridad de los dispositivos, no debes confiar en las \u201cgarant\u00edas\u201d de los proveedores, sino tomar ciertas medidas por tu cuenta para proteger tu privacidad.<\/p>\n Por tanto, recomendamos a los propietarios de cualquier sistema de videovigilancia: estar al tanto de los problemas de seguridad de estos dispositivos, comprobar minuciosamente los ajustes de la c\u00e1mara, desconectar cualquier funci\u00f3n en la nube que no sea necesaria e instalar las actualizaciones regularmente. Por \u00faltimo, a la hora de instalar un sistema de videovigilancia en tu hogar, sopesa los riesgos, dado que el da\u00f1o potencial de un hackeo<\/em> es bastante serio.<\/p>\n","protected":false},"excerpt":{"rendered":" Se dice que los sistemas de videovigilancia dom\u00e9sticos son seguros. Pero \u00bfest\u00e1s preparado para convertirte en una estrella de telerrealidad sin darte cuenta?<\/p>\n","protected":false},"author":665,"featured_media":28176,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,10],"tags":[378,3511,1069,2161,2679,1976,324,3384],"class_list":{"0":"post-28175","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-tips","9":"tag-amenazas","10":"tag-camaras-de-vigilancia","11":"tag-casa-inteligente","12":"tag-cctv","13":"tag-filtraciones","14":"tag-idc","15":"tag-informacion-personal","16":"tag-videovigilancia"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ip-cameras-unsecurity-eufy\/28175\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ip-cameras-unsecurity-eufy\/24970\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/20468\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/10338\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/27538\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ip-cameras-unsecurity-eufy\/25302\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/25617\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ip-cameras-unsecurity-eufy\/27443\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ip-cameras-unsecurity-eufy\/34368\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ip-cameras-unsecurity-eufy\/11183\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ip-cameras-unsecurity-eufy\/46574\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ip-cameras-unsecurity-eufy\/19887\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ip-cameras-unsecurity-eufy\/20469\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ip-cameras-unsecurity-eufy\/29594\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ip-cameras-unsecurity-eufy\/33000\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/ip-cameras-unsecurity-eufy\/28677\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ip-cameras-unsecurity-eufy\/25657\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ip-cameras-unsecurity-eufy\/31349\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ip-cameras-unsecurity-eufy\/31076\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/amenazas\/","name":"amenazas"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28175","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=28175"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28175\/revisions"}],"predecessor-version":[{"id":31736,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28175\/revisions\/31736"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/28176"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=28175"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=28175"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=28175"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Promesas rotas<\/h2>\n
![\"Captura](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2022\/12\/15233024\/ip-cameras-unsecurity-eufy-01.jpg\")
![\"Uno](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2022\/12\/15233147\/ip-cameras-unsecurity-eufy-02.png\")
Una explicaci\u00f3n algo confusa<\/h2>\n
C\u00f3mo protegerse<\/h2>\n