¿Quién te está mirando a través de tu cámara web?

Cuando una persona instala una Cámara de Seguridad o un Circuito Cerrado de TVen su casa o en su empresa es porque está preocupado por la seguridad. Que ese sistema de vigilancia se te vuelva tu peor enemigo por culpa de un fallo de seguridad en el software o por simplemente no haber cambiado las contraseñas por defecto no debería pasar. Pero pasa, y por desgracia muy a menudo, tanto como para que una web haya montado un servicio para acceder alrededor de 20.000 cámaras de seguridad de todo el mundo, como se ve al final de este artículo.

Figura 1: ¿Sabes quién te está mirando a través de tu cámara de seguridad?

Cámaras de Seguridad y Passwords por Defecto

El problema de las contraseñas por defecto hace largo tiempo que se conoce como un problema serio de seguridad. Cuando un dispositivo se instala, debe obligar siempre durante ese proceso a cambiar las contraseñas del sistema. Si no lo hace, acaba de generar un agujero de seguridad que acabará afectando a un porcentaje de los usuarios de esa plataforma. Hablando de este problema yo di una presentación enGSICK-2011 en una conferencia titulada: Default Passwords - ¡Adelante, por favor!

En aquella sesión, le dediqué un pequeño apartado a las cámaras de seguridad que había estado buscando por puertos menos habituales, usando contraseñas por defecto o comunes. En ese caso, que publiqué en "Cámaras de seguridad por oscuridad", solo busqué por el puerto 81 y ya salieron suficientes para darse cuenta de que era un problema serio.

Figura 2: Un circuito de cámaras de seguridad de un bar expuesto en Internet por el puerto 81

Algo similar contaba un compañero en su artículo "Cervezas, Cámara, Acción" en el que narraba que no solo en Internet, sino en las redes WiFi cerradas de cualquier sitio podrías acabar encontrando cámaras de seguridad con passwords por defecto.

Cámaras de seguridad y fallos de seguridad

Otro caso especialmente llamativo fue el del escándalo de privacidad de las cámaras TrendNet, que gracias a un fallo de seguridad por el que se podía - y aún puede en muchos modelos sin actualizar - acceder a la imagen en tiempo real que toma la cámara sin contraseña, acceder a cámaras de seguridad por todo el mundo, algo que permitía llegar a sitios insospechados como se puede ver en esta significa captura que fue tomada por una de esas cámaras.

Figura 3: Una cámara de seguridad TrendNet en un dormitorio particular

Algo similar publicó Alejandro Ramos (@aramosf) con un 0day descubierto en el software Hunt CCTV utilizado por muchos modelos de cámaras de seguridad por todo el mundo. Este 0day permitía conseguir la contraseña de cualquier cámara del mundo con solo pedir la descarga del fichero de configuración, tal y como explicó en el Security Advisory.

Este fallo es parte de la historia del libro Hacker Épico, que cuenta cómo piensa unhacker para resolver algunas soluciones, y en este caso el protagonista necesitaba acceder a las grabaciones de una cámara. Con este fallo, se podía acceder a 12.000 circuitos de cámaras de seguridad por todo el mundo, tal y como puede verse en la captura del mapa superior.

Figura 4: Mapa de ubicación de cámaras Hunt CCTV vulnerables por todo el mundo

El último de estos casos fue el de la cámara de seguridad GM01 que te ponía en riesgo personal, ya que subía tus imágenes a la nube sin ningún tipo de control y protección. Con estas vulnerabilidades se podía acceder a las capturas de gente en su vida personal en su domicilio, algo que es otra aberración.

Figura 5: Fotos de una cámara de seguridad GM01

El fabricante de origen chino, después de estar sin contestar durante mucho tiempo, tras la publicación del artículo tomó algunas medidas para evitar los ataques allí expuestos, como quitar el listado de directorios, pero dejó otros sin solucionar lo que tal vez podría permitir llegar a sacar aún las fotografías.

Todas las cámaras en un único punto de control

Ahora, una web se ha dedicado a recoger estos fallos de seguridad y configuraciones con claves por defecto, y buscar luego por Internet las cámaras que permitan hacer esto mismo, es decir, acceder a las grabaciones para crear un interfaz que permite buscar por país y por ciudad las cámaras a las que se puede acceder libremente.

Figura 6: Web que permite acceder a las cámaras de seguridad de todo el mundo

Entre la lista, por supuesto, hay cámaras en todos los países, y algunas en casas particulares como se puede ver en estas dos primeras de Alicante y/o Avilés.

Figura 7: Cámaras de seguridad en Alicante, Avilés o Barcelona

Ahora hay 377 cámaras en España, pero hace unos días creo recordar que había más. He mirado en Madrid, y también hay cámaras en domicilios particulares en las que además se guarda su ubicación GPS - supongo que por medio de la dirección IP -.

Figura 8: Cámaras de seguridad en casas particulares de Madrid

De cada cámara, además, se tiene la información técnica de la marca y el modelo y cuál es el usuario que se ha utilizado para acceder a ella, tal y como puede verse aquí.

Figura 9: Datos de una cámara de seguridad en Madrid

Al final, si tienes una cámara de seguridad, asegúrate muy bien de qué compras, como funciona y qué fallos de seguridad se publican, ya que al final puedes tener queponerte sexy para salir en la CCTV en lugar de en la webcam.

Atributo nofollow

Dejemos aquí una pequeña reseña sobre un atributo que se está convirtiendo en esencial en los enlaces y que no habíamos comentado en nuestro manual de HTML, aunque sí habíamos visto algo en nuestro manual de posicionamiento en buscadores.

Nofollow es un atributo de los links HTML (etiqueta <A>), que sirve para definir o marcar el comportamiento de los buscadores cuando rastrean nuestra página web en busca de contenidos para indexarlos. Por defecto, cuando un buscador visita una página web va recorriendo todos sus enlaces y va indexando su contenido en su base de datos de páginas. Esto es algo que hacen automática y periódicamente. Ocurre tanto con los enlaces internos a otras páginas de nuestro sitio como con los enlaces externos a otras páginas web. Los motores que recorren las webs de enlace a enlace, se llaman arañas.

Ahora bien, nosotros podemos, a través del atributo rel="nofollow", decirle a un buscador que no continúe indexando los contenidos de la página a la que lleva un enlace en particular. Lo haríamos así:

<a href="URL_DEL_ENLACE" rel="nofollow">TEXTO_DEL_ENLACE</a>

Un poco de historia sobre nofollow

Para completar estas notas habría que comentar que el atributo fue creado por iniciativa de Google y Blogger en 2005, como una idea para detener el spam de enlaces en sitios web que permiten a los usuarios la participación.

Una práctica común de las personas que pretenden promocionar una página web es realizar comentarios o participaciones en páginas web, en las que insertan enlaces a sus propios sitios. Esto se conoce como spam de enlaces, o con el término de spamdexing.

Con el atributo rel="nofolow" se pretenden mitigar los efectos de ese tipo de spam en los sitios como foros, blogs, o cualquier página que permita la interacción con la comunidad de visitantes. Algunas páginas como la Wikipedia lo utilizan en todos los enlaces externos.

Actualmente el atributo ren=nofollow está bajo patente, aunque esta está liberada de royalties, lo que quiere decir que se puede utilizar sin limitación y sin tener que pagar nada.

Cómo interpretan los buscadores el Nofollow

El atributo es tenido en cuenta no sólo por el motor de indexación (araña) del buscador Google, sino también por otras arañas de buscadores tan importantes como Yahoo! o MSN. Aunque hay que decir que cada buscador hace un uso particular del atributo.

Habría que aclarar que los buscadores a menudo siguen el enlace que se ha marcado como nofollow, visitando aquella web que se había enlazado. Lo que ocurre realmente es que no tienen en cuenta el link para asignarle ranking o directamente no lo indexan.

Promoción de webs y nofollow

Sobra decir que este atributo resulta bastante potente a la hora de trabajar con la promoción de una página web, puesto que altera directamente el comportamiento de los buscadores al rastrear las páginas, enlace a enlace.

Así pues, los SEO, promocionadores de páginas o personas que trabajan en el posicionamiento en buscadores, lo tienen muy en cuenta en sus técnicas para su trabajo del día a día. Existen diversas técnicas que utilizan este atributo para realizar promoción de webs, como la que explicamos en el artículo Arriesgada pero excelente técnica SEO usando rel=nofollow, pero el uso más importante es el que se ha comentado ya en este artículo: ponerlo a los enlaces externos para no transferir ranking o posicionamiento desde nuestra web a otras webs externas.

Otra técnica relacionada con nofollow, pero más segura, para que no se indexe parte del contenido de nuestra página, es el uso del archivo robots.txt, que ya hemos comentado anteriormente en DesarrolloWeb.com.

Expertos en protección de datos advierten de los riesgos para la privacidad de la tecnología 'ponible'

Las autoridades europeas de Protección de Datos han aprobado el primer dictamen conjunto sobre el "internet de las cosas", ese fenómeno creciente de interconexión virtual de todo con todo, donde advierten de los riesgos para la privacidad personal de los dispositivos "ponibles", tipo relojes o gafas "inteligentes".

Según el documento, cuya elaboración ha sido liderada por la Agencia Española de Protección de Datos (AEPD), junto con la Autoridad francesa (CNIL), esos objetos dotados de sensores y conexión a internet recogen fragmentos de información, que podrían ser analizados por otros y revelar auténticos patrones de vida de las personas.

El dictamen identifica y alerta de los riesgos que estos productos y servicios pueden plantear para la privacidad de las personas, definiendo un marco de responsabilidades y realizando recomendaciones.

El documento plantea tres escenarios: la tecnología para llevar puesta ('wearable computing'), los dispositivos móviles que registran información relacionada con la actividad física de las personas, y la domótica (detectores, termostatos y sensores conectados en oficinas y hogares).

Un ejemplo destacado en el dictamen se refiere a los datos que puede recoger el acelerómetro o el giroscopio de un teléfono "inteligente" y que podrían ser utilizados por otros para obtener información sobre hábitos de conducción del individuo El dictamen está dirigido a fabricantes de dispositivos, desarrolladores de aplicaciones y gestores de redes sociales, y asimismo, a usuarios que van a utilizar estos equipos conectados.

Enlace

Cómo te espía tu centro comercial por WiFi y BlueTooth

Desde hace años, las técnicas de Business Intelligence, Data Mining y el algo más reciente concepto de Big Data buscan la forma de ganar dinero con toda la información que sea posible atesorar. Los centros comerciales, lugar donde trabajan grandes vendedores, saben que la información es dinero, y por eso se estudian las ofertas, los packs, la colocación de los productos, el diseño de los paneles, etcétera, basándose en todos los datos que están a su alcance y que son capaces de obtener en sus instalaciones.