Securitywatch: la verdadera razón por la que no tengo una cámara de seguridad

Mi pareja y yo recientemente obtuvimos un perro, que para los millenials es casi lo mismo que decir que tuvimos un hijo. Ahora, ya teníamos, y aún tenemos, otras mascotas en nuestra casa. Nuestra travesura de ratas adorables de nariz rosada puede variar en tamaño, pero ha sido una constante en la vida de mi pareja y yo durante casi una década. Lo que pasa con las ratas es que están tan felices en una jaula con sus amigos ratas como lo están contigo. Los perros, por otro lado, no son felices cuando te vas y, como resultado, tampoco eres feliz. Cuando conseguimos al perro (cuyo nombre es Lulu y ella es la mejor perrita según todas las medidas objetivas), mi compañero sugirió que obtuviéramos una cámara web o un monitor de video para bebés para poder vigilar a nuestro hijo canino mientras estábamos en el trabajo..

Lo admito, me sentí tentado. Como mencioné, nuestras mascotas desempeñan el papel de niños para nosotros, y paso una cantidad de tiempo no insignificante preocupada por mis animales cuando estoy en el trabajo, especialmente durante los veranos de Nueva York, que combinan el calor del Valle de la Muerte con el repugnante Humedad de una axila. A pesar de esas preocupaciones, estaba incómoda. Mi pareja es muy consciente de mis tendencias paranoicas, y después de que hablamos sobre eso, estamos de acuerdo: no tendremos una cámara de seguridad en nuestra casa.

No es, como podría pensar, porque tengo miedo de que los piratas informáticos observen mis momentos íntimos o que las agencias de inteligencia escuchen cada una de mis palabras, aunque esas son amenazas reales. No, mi preocupación es que cualquier dispositivo con acceso a Internet en mi red podría ser secuestrado y convertido en un arma de destrucción masiva en línea.

Los trucos espeluznantes son reales pero evitables

Llegaremos a mis miedos, pero primero debo reconocer que sí, cosas espeluznantes suceden con los dispositivos IoT, y puede ser realmente malo. Por sí solo, es una razón válida para dudar antes de obtener una cámara o monitor de bebé conectado a la web.

Abundan las historias de personas que escuchan las voces de las enredaderas que pasan por el monitor de su bebé o descubren que alguien ha usado la cámara en su computadora para capturar imágenes embarazosas. Una práctica particularmente insidiosa se llama "sextortion", donde un atacante amenaza con publicar fotos embarazosas tomadas desde una cámara web secuestrada (que puede o no tener) a menos que la víctima proporcione material sexualmente explícito. Esto es desagradable por sí solo, y el hecho de que los jóvenes sean con frecuencia el blanco de estos ataques es deplorable.

Los ataques tan atroces suelen ser más difíciles de llevar a cabo porque requieren apuntar a un individuo específico, pero el pedigrí de seguridad de muchos dispositivos de Internet de las cosas, incluidas algunas cámaras de seguridad y monitores de bebés conectados, los hace más fáciles de marcar. Si desea encontrar un objetivo, puede echar un vistazo a Shodan, un motor de búsqueda de dispositivos conectados a Internet. Atacar a una persona específica probablemente implicaría acceso físico al dispositivo, o ataques de phishing cuidadosamente construidos, pero Shodan probablemente puede conectarlo con una víctima involuntaria, aunque algo aleatoria.

Estos ataques graves e invasivos son una amenaza real, pero también pueden mitigarse sin una gran cantidad de conocimientos técnicos. Un simple trozo de cinta adhesiva sobre una lente o una toallita seca arrojada sobre un dispositivo puede hacer que una cámara quede completamente ciega. Los monitores para bebés se pueden desconectar, o mejor aún, no se les permite conectarse a Internet en primer lugar. Puedo manejar eso por mi cuenta.

Lo que realmente me asusta

Hubo una presentación de Black Hat que siempre me quedó grabada. En él, el presentador demostró cómo podía tomar el control de una cámara de seguridad conectada. Eso da miedo, pero lo que me sorprendió fue el punto del presentador de que estas cámaras eran solo pequeñas computadoras Linux y podían usarse para hacer cualquier cosa que un atacante quisiera. También afirmó que la gran mayoría de las cámaras en el mercado tenían fallas importantes.

Unos años más tarde, los dispositivos domésticos inteligentes comenzaron a llegar a los estantes, y seguía escuchando de las compañías de seguridad que estaban realmente preocupados. Tenían la misma preocupación que el presentador de Black Hat; que podría ser posible secuestrar un dispositivo inteligente y usarlo para todo tipo de propósitos nefastos.

No mucho después, esos temores se hicieron realidad, y fue peor de lo esperado. El malware Mirai escaneó automáticamente las conexiones disponibles en Internet y luego usó una batería de ataques para entrar en el dispositivo IOT, todo sin la intervención de un humano. Mirai apuntó a dispositivos que ejecutan versiones integradas de Linux, desde televisores hasta enrutadores, y pudo ensamblar una botnet considerable. Era lo suficientemente grande como para eliminar un proveedor de DNS, lo que a su vez hizo que sitios como GitHub, Netflix y Twitter no estuvieran disponibles.

Mirai fue solo un ejemplo, pero ha vuelto una y otra vez. Según Wikipedia, las variantes del malware Mirai se han visto varias veces en el último año, con algunos avistamientos tan recientes como febrero de 2019.

Mirai se limitó a solo un puñado de dispositivos, pero aún era brutalmente eficiente. Lo peor sería un ataque aún más avanzado, tal vez menos automatizado, tal vez no, que podría saltar de una bombilla infectada a mi enrutador y, a su vez, a todos los dispositivos de la red. Esto haría que el dispositivo IoT sea una cabeza de playa o un punto de apoyo, por lo que el atacante o el malware podrían "pivotar" en la red más valiosa.

Por supuesto, ha habido mejoras en las cámaras conectadas y los monitores para bebés, y en general en IoT, pero la industria aún necesita hacer más. Las empresas deben asegurarse de que sus dispositivos hayan sobrevivido a una batería de pruebas para detectar debilidades, y al menos deben incluir un mecanismo para actualizar o reemplazar los dispositivos que se consideran vulnerables. Los proveedores deben asumir que sus dispositivos serán atacados, incorporar funciones de seguridad y recordar que sus productos no siempre pueden ser reparados por el usuario, algunos de ellos carecen de pantallas o de cualquier tipo de interfaz.

La inmunidad de grupo

También hay algunas precauciones disponibles para las personas comunes. Puede comprar dispositivos de seguridad de IoT como Bitdefender Box o enrutadores con software de seguridad incorporado. (Este último es importante cuando considera que un enrutador, como un dispositivo IoT, es solo una computadora que podría usarse para mal). Puede asegurarse de que sus dispositivos estén actualizados con los últimos parches de software y cambie cualquier contraseña predeterminada Aún así, eso solo va muy lejos. Al mirar una casilla, casi no hay forma de saber si la cámara de seguridad en el interior utiliza código firmado en sus actualizaciones o si tiene credenciales codificadas que son invisibles para el usuario y una puerta trasera potencial para los atacantes.

Es notable cómo muchos de esos consejos, y gran parte de la seguridad en general, se expresan en la idea de seguridad y responsabilidad personal. Debe proteger su máquina y su información personal. Como fue el caso con Mirai, un ataque exitoso contra mí puede convertirse rápidamente en un ataque contra mi familia, mis amigos, mi comunidad y personas que nunca conoceré. Eso no solo va a causar algunos problemas con mi ISP, sino que sin saberlo he lastimado a las personas que me rodean.

Esto me recuerda el concepto de inmunidad colectiva. Es entonces cuando un porcentaje suficientemente alto de una población está inmune o vacunado contra una enfermedad en particular que nadie se enferma. La población se protege entre sí haciendo imposible que se propaguen los contagios. Poner una cámara de seguridad en mi casa no es solo un riesgo para mí, también podría hacer que otros sean un poco menos seguros.

Lulu, el mejor perro, todavía está luchando para sentirse cómoda sola. Recientemente le conseguimos una tapa de caja, porque los perros aparentemente se sienten naturalmente atraídos por una guarida oscura y segura. En cambio, tiró de la tapa a través de los barrotes, la enfundó y durmió sobre ella. Todavía estoy luchando también, pero sé que la solución es más capacitación para ella y para nosotros, no una cámara que simplemente me diga lo que ya sé.

• Hacking Hue: los investigadores ingresan al Internet de las cosas Hacking Hue: los investigadores ingresan al Internet de las cosas
• Nest: culpe a las contraseñas débiles, no a nosotros por incidentes espeluznantes con cámaras Nest: culpe a las contraseñas débiles, no a nosotros por incidentes espeluznantes con cámaras
• SecurityWatch: hacer corporaciones, no clientes, sufrir por violaciones de datos SecurityWatch: hacer corporaciones, no clientes, sufrir por violaciones de datos

Cualquier pequeña garantía que me brinde una cámara de seguridad no vale la pena ser parte de un ataque devastador. Está poniendo mi propia tranquilidad por encima de los demás, y ese no es un intercambio que estoy dispuesto a hacer. La tecnología IoT está mejorando y existen mejores herramientas para proteger estos dispositivos, pero todavía no es suficiente para que me sienta cómodo. Comencé a pensar en los dispositivos de mi red como mi responsabilidad, por mi bien y por los demás, y para mí, estos dispositivos son un riesgo que aún no estoy dispuesto a tomar.