Bitfedender detectó recientemente importantes vulnerabilidades de privacidad en las cámaras IoT que permiten a los piratas informáticos secuestrar y convertir estos dispositivos en herramientas de espionaje completas.

La cámara analizada por Bitdefender es utilizada con fines de monitoreo por muchas familias y pequeñas empresas. El dispositivo incluye funciones de monitoreo estándar, como un sistema de detección de movimiento y sonido, audio bidireccional, micrófono y altavoz integrados, y sensores de temperatura y humedad.

Las vulnerabilidades de seguridad pueden explotarse fácilmente durante el proceso de conexión. La cámara IoT crea un punto de acceso durante la configuración a través de una red inalámbrica. Una vez instalada, la aplicación móvil correspondiente establece una conexión con el punto de acceso del dispositivo y se conecta automáticamente. El usuario de la aplicación presenta las credenciales y el proceso de configuración se completa.

El problema es que el punto de acceso está abierto y no se requiere contraseña. Además, los datos que circulan entre la aplicación móvil, la cámara IoT y el servidor no están cifrados. Y para empeorar las cosas, Bitdefender también detectó que las credenciales de la red se envían en texto plano desde la aplicación móvil a la cámara.

Cuando la aplicación móvil se conecta de forma remota al dispositivo, desde fuera de la red local, se autentica a través de un mecanismo de seguridad conocido como Autenticación de acceso básico. Según los estándares de seguridad actuales, esto se considera un método inseguro de autenticación, a menos que se use junto con un sistema seguro externo como SSL. Los nombres de usuario y las contraseñas se pasan por cable en un formato no cifrado, codificado con un esquema Base64 en tránsito.

Como resultado, un atacante puede hacerse pasar por el dispositivo genuino al registrar un dispositivo diferente, con la misma dirección MAC. El servidor se conectará con el dispositivo que se registró por última vez, y también lo hará la aplicación móvil. De esta manera, los atacantes pueden capturar la contraseña de la cámara web.

Cualquiera puede usar la aplicación, tal como lo haría el usuario. Esto significa activar el audio, el micrófono y los altavoces para comunicarse con los niños mientras los padres no están cerca o no tienen acceso a imágenes en tiempo real desde la habitación de sus hijos. Claramente, este es un dispositivo extremadamente invasivo, y su compromiso conlleva consecuencias aterradoras.

Para evitar violaciones de la privacidad, realice una investigación exhaustiva antes de comprar un dispositivo IoT y lea las reseñas en línea que pueden revelar problemas de privacidad. En segundo lugar, instale una herramienta de ciberseguridad para IoT, como Bitdefender's Box. Estas herramientas escanearán la red y bloquearán los ataques de phishing y otras amenazas.