Seguridad en cámaras web: entendiendo un vector de ataque moderno

El 21 de junio de 2016, Mark Zuckerberg, el CEO de Facebook, publicó un mensaje en la red social para celebrar un nuevo récord de Instagram. La plataforma para compartir fotografías y vídeos, propiedad de la empresa de Zuckerberg, ya contaba con más de 500 millones de usuarios activos mensuales.

Zuckerberg escribió: “Este es un homenaje a la visión de Kevin Systrom y Mike Krieger, y a todas las personas que han abierto una ventana a su mundo: desde grandes eventos hasta los momentos cotidianos. Gracias por hacer de Instagram un lugar tan hermoso”.

Hasta aquí todo parece ir bien y sobran motivos para que la estrella de la red social esté feliz. Sin embargo, este momento trascendental quedó rápidamente en segundo plano. ¿Por qué? Porque la publicación resultó tener una interesante imagen adjunta donde Zuckerberg sostiene un marco que simula una fotografía de Instagram.

Una vez más, parecería algo bastante rudimentario. Sin embargo, detrás de él, sobre el escritorio, se ve una MacBook personal, que suponemos es la suya, y que no solo tiene tapado el enchufe de audio con cinta adhesiva, sino también la cámara web integrada. Está de más decir que esta imagen provocó una gran conmoción online.

(In)Seguridad en cámaras web: un problema muy real

La comprensión colectiva de la seguridad cibernética está mejorando en forma lenta pero segura. Esto es algo positivo, ya que la amenaza de la ciberdelincuencia crece día a día. Tanto es así que los profesionales de seguridad y ciertas autoridades han admitido que están muy preocupados por su rápido crecimiento.

No obstante, definitivamente aún hay falta de concientización entre los usuarios de computadoras. Una de las consecuencias positivas que tuvo la publicación viral de Zuckerberg en Facebook es que aumentó la toma de conciencia sobre la seguridad en cámaras web y otras vulnerabilidades asociadas, que hace muy poco tiempo se ha convertido en un área de preocupación real en los círculos fuera de la industria de la seguridad informática.

Por otra parte, en la Internet de hoy, donde todo está mucho más conectado mediante la Internet de las Cosas, este problema va a ser cada vez mayor. Por eso es importante que aprovechemos este súbito incremento en la atención que está recibiendo la seguridad en cámaras web, por cortesía del pionero en redes sociales.

Todo comenzó con un café

Los orígenes de la cámara web son sorprendentemente peculiares. Unos investigadores de la Universidad de Cambridge en el Reino Unido querían asegurarse de que siempre podrían tomar una taza de café con el menor esfuerzo posible. Como había muchas personas trabajando en diferentes pisos, encontrar algo de café en la cafetera era cuestión de suerte: la cafetera estaba en una sala y no era visible para la mayoría de la gente. Por lo tanto, cuando iban a tomar un café, la cafetera podía estar llena, vacía o en algún punto intermedio.

Esto les resultaba bastante molesto a los investigadores, por lo que algunos decidieron colocar una cámara en el cuarto para vigilar el estado de la cafetera. De esta forma, todos los equipos de la Universidad que estuvieran interesados podrían ver si había café a través de la red informática interna. Pero esto solo fue el comienzo: el gran avance para la Web llegó en noviembre de 1993, cuando el Dr. Martyn Johnson creó un script con las imágenes capturadas.

La BBC dijo hace unos años: “Y así fue como la imagen granulada de una sucia cafetera en un laboratorio universitario entró al folklore de la ciencia informática, como parte esencial de la primera cámara web del mundo”.

Aprovechamiento de vulnerabilidades de las cámaras web

Como era de esperar, esta tecnología, que desde aquellos tiempos ha evolucionado para ofrecer conversaciones de vídeo online, conferencias remotas y videologs, comenzó a atraer la atención de los ciberdelincuentes. Si por ejemplo se logra instalar una herramienta de acceso remoto, les puede dar a los atacantes un alto grado de “acceso” al hogar y a los aspectos más íntimos y cotidianos de la vida de un usuario.

Al igual que ocurre con la mayoría del malware que logra su cometido, la víctima en general no se da cuenta de que algo anda mal; es decir, los ciberdelincuentes pueden espiar a la gente desde una ubicación remota con la tranquilidad de saber que nadie sospecha lo que están haciendo. Y todo por culpa de una tecnología que ahora es parte integral del smartphone, la tableta o la computadora personal.

Como el analista de seguridad independiente Graham Cluley advirtió el año pasado: “Prácticamente todos los equipos que se venden en la actualidad vienen con un pequeño secreto: pueden espiar a los usuarios. Lo que es más, si los atacantes logran infectar tu equipo con malware, pueden secuestrar tu cámara web y observarte sin que te des cuenta: más allá de que estén cruzando la calle o del otro lado del mundo”.

Sin embargo, en algunos casos, los atacantes dejan que sus víctimas sepan que los están vigilando. ¿Por qué? En algunos casos, tiene que ver con una conducta desviada, como lo demuestra el caso que señaló Graham Cluley de Cassidy Wolf, una modelo estadounidense que fue coronada Miss Teen USA en 2013. En otros casos, tiene que ver con la extorsión, amenazando con publicar fotos íntimas si la víctima se rehúsa a pagar el rescate.

Sigue el ejemplo de Mark Zuckerberg

Por lo tanto, es evidente que debemos prestar mayor atención a la seguridad en cámaras web. Es sumamente importante saber qué cosas debemos buscar y qué hay que hacer, ya que puede marcar una gran diferencia si nos vemos ante la necesidad de responder a una situación.

“Imagina que estás trabajando en tu computadora portátil y de repente la luz verde al lado de la cámara web integrada parpadea por un segundo e inmediatamente se vuelve a apagar”, señaló el especialista en seguridad de ESET Ondrej Kubovič. “¿La ignorarías? ¿O empezarías a indagar para ver si se trata de algo más serio?”.

Lo más importante que hay que entender es que, cuando se trata de la seguridad de la cámara web, debemos ser proactivos: por ejemplo, cambiar la contraseña predeterminada, ya que de lo contrario es muy fácil que los ciberdelincuentes puedan obtener acceso.

Como dijo el especialista en seguridad de ESET Mark James: “Aquí, el punto clave es la educación: el usuario final tiene que ser plenamente consciente de que existe una contraseña de acceso predeterminada y que las instrucciones para cambiarla son muy sencillas”.

Otro consejo es cubrir la cámara web (una vez más, esto requiere que el usuario tome la iniciativa). Aunque pegar un pedazo de cinta es útil, como lo hizo Zuckerberg, es probable que prefieras invertir en algo que sea más profesional (y fácil de usar). De este modo, simplemente deberás cubrir la cámara cuando no esté en uso.

Vivimos en un mundo en el que las innovaciones tecnológicas están transformando y mejorando la forma en que vivimos. Los smartphones nos permiten hacer todo tipo de cosas desde cualquier lugar, las tecnologías inteligentes nos permiten comunicarnos con heladeras y automóviles, y las cámaras web nos dan la oportunidad de ver más a nuestros amigos, familiares y compañeros de trabajo, por más lejos que estén.

Sin embargo, al mismo tiempo, los cibercriminales siempre están buscando la manera de aprovecharse de las tecnologías, es decir que nuestras heladeras, nuestros automóviles e incluso nuestras cámaras web son vulnerables a todo tipo de ataque. Pero con un poquito de esfuerzo, una solución de seguridad instalada en todos los dispositivos y un poco de atención, es posible mantener estas amenazas a raya y disfrutar de todos los beneficios que los aparatos más modernos tienen para ofrecer.

Autor , ESET

Síguenos