La cámara de seguridad de la casa de Iglesias emitía en directo en una web pública que rastrea señales en abierto

Las imágenes que recogía el dispositivo instalado por la Guardia Civil para vigilar la vivienda eran accesibles a cualquier usuario desde Insecam.org
Insecam recopila de forma automática cámaras sin contraseña o con una contraseña predeterminada como “1234”
Que la señal de Iglesias acabara en Insecam puede deberse a una mala configuración o a un hackeo que buscara que un agregador así las detectara, dicen los expertos

8 de abril de 2019 21:15h

Las imágenes captadas por la cámara de vigilancia instalada por la Guardia Civil en la vivienda de Pablo Iglesias en Galapagar (Madrid) se vieron en directo en todo el mundo a través Insecam, según ha podido saber eldiario.es. Insecam es una web que capta automáticamente las retransmisiones de este tipo de dispositivos cuando detecta que se vierten a la red sin ninguna protección o con una contraseña de fábrica sin cambiar. Se trata de una de las páginas más conocidas del mundo de este tipo y lleva activa desde 2014.

Insecam rastrea Internet en busca de cámaras de seguridad conectadas a la red y las tantea de manera automática probando contraseñas predeterminadas (“admin”, “admin1234”, etc), las más comunes (“1234”, “password”, etc.), o aquellas que el fabricante sugiere como opciones en el manual de usuario y son, por tanto, de dominio público. Si la contraseña funciona y la puerta se abre con solo llamar, Insecam capta la señal y empieza a retransmitir a todo el mundo. En el momento de redacción de esta información hay decenas de miles de retransmisiones activas, 239 en España.

Los administradores de la web se escudan en que lo hacen “como una llamada de atención por la inseguridad” que supone la mala configuración de estos dispositivos. También que no captan señales de webcams personales, sino solo las que se conectan a sistemas de vigilancia. Se puede solicitar la retirada del streaming de cualquier cámara, pero dejan una advertencia: “Su cámara seguirá estando disponible para todos los usuarios de Internet que usan software de búsqueda de cámaras de vigilancia y sitios como Shodanhq.com. ¡La única solución para hacer que su cámara sea privada es configurar una contraseña!”.

Que una cámara de seguridad acabe en Insecam “le puede pasar a cualquiera”, explican varios expertos en ciberseguridad a este medio. En los casos más habituales se culpa más al fabricante, que no obliga por defecto al usuario a establecer una contraseña segura antes de empezar a usar el dispositivo, que al propio usuario. No obstante, que suceda con una cámara de videovigilancia instalada por la Guardia Civil como parte de su sistema de protección oficial “es mucho más preocupante”, expresa Eusebio Nieva, director técnico de la firma de ciberseguridad Check Point.

La posibilidad del hackeo

Este lunes, El País hizo público que Podemos denunció en octubre que la cámara de vigilancia instalada en la vivienda de Iglesias había sido pirateada. El hecho de que la página que retransmitía las imágenes a todo el globo fuera una tan conocida como Insecam, como revela ahora eldiario.es, no invalida la hipótesis de que el dispositivo contara con una seguridad fuerte en un inicio y fuera hackeada con el objetivo de que rastreadores automáticos como Insecam la detectaran, confirman los expertos a este medio.

“Error sin duda ha habido, lo que no tengo claro si es una metedura de pata o si ha sido inducido por alguien para poder ver sus movimientos y ha terminado en Insecam porque era lo normal habiendo dejado eso abierto y sin clave”, expone Jorge 'SoydelBierzo', sobrenombre de un conocido analista de ciberseguridad. “Para empezar, el fallo no es solo de configuración de la cámara: para que ésta se pusiese a publicar su contenido en Internet ha sido necesario que el router también esté mal comfigurado y acepte uPnP, un tipo de señal que muchos dispositivos envían al conectarse a una red y que abre un puerto al exterior al que cualquiera puede conectarse”, abunda.

Insecam permite seleccionar entre las cámaras cuya señal tiene disponible con alto grado de detalle, permitiendo discriminar entre países y ciudades, fabricante del dispositivo o lugar en el que está ubicado (vivienda, calle, piscina, bar, etc.).

Nieva, de Check Point, explica que, en caso de que el atacante hubiera tenido acceso físico a la cámara, podría haber logrado resetearla a su configuración de fábrica de forma mucho más sencilla. “Con acceso físico a la cámara es muy sencillo. Todas suelen tener una forma de poner el sistema en modo fábrica. Si no tienes acceso físico ya es un hackeo bastante más complicado, aunque también hay métodos, pero hay que conocer las vulnerabilidades que tenga el sistema”, detalla.

En cualquier caso, en su opinión la opción más plausible es que haya sido un “error humano”. “Es un problema bastante frecuente porque los dispositivos no se configuran y directamente se dejan funcionando. No solo afecta a las cámaras, sino al Internet de las Cosas”, continúa el director técnico de Check Point. “El problema es que el sistema no fuerza a que el usuario cambie la configuración por defecto antes de empezar a usarlo”.

El experto recuerda como ejemplo el botnet Mirai, un malware que aprovechó las contraseñas predeterminadas en su beneficio. En 2016, Mirai rastreó la web en busca de cámaras, routers y otros dispositivos para ponerlos a su servicio y usarlos como una red de bots de ataque. Con su potencia combinada, llevaba a cabo ofensivas de denegación de servicio para colapsar equipos y pedir un rescate. Fue uno de los ataques masivos más salvajes que ha sufrido la red: “Consiguieron tumbar parcialmente Internet, no completamente, pero algunos servidores importantes se vieron afectados, como Twitter, Netflix o AirBnb”, abunda Nieva.

Esta información ha sido actualizada el 9 de abril de 2019 para ampliar la explicación técnica de Jorge 'SoydelBierzo', uno de los expertos en ciberseguridad citados inicialmente.