cámaras de vigilancia vulnerables: cualquiera puede ver a tu bebé

Muchas familias usan vigilabebés o cámaras de vigilancia para vigilar al bebé mientras duerme. La idea es cómoda: si el pequeño llora, puedes ver al instante qué pasa.

El problema surge cuando la cámara tiene una brecha de seguridad que permite a cualquier persona acceder a la transmisión. El investigador independiente Sammy Azdoufal analizó la app Android de la marca Meari y extrajo una clave única que le dio acceso a más de un millón de cámaras en 118 países.

Meari es un fabricante de marca blanca; sus dispositivos se venden bajo nombres como Arenti, Anran, Boifun, ieGeek, Wyze, Petcube, COCOCAM, PetTec, SV3C, Joystek, Luvion y Vimar. En Amazon España aparecen cientos de modelos con miles de reseñas positivas.

La vulnerabilidad no afecta a un modelo concreto, sino a toda la arquitectura. Muchas marcas comparten servidores y, a veces, credenciales, sin aislamiento entre ellas. El protocolo MQTT usado en la plataforma IoT EMQX carecía de protecciones, lo que permitía ver en tiempo real lo que ocurría en miles de hogares. Además, muchas cámaras seguían usando contraseñas por defecto como "admin" o "public" y los vídeos de alerta se almacenaban en servidores de Alibaba sin protección, accesibles mediante una URL.

Azdoufal también encontró un servidor interno sin protección que contenía contraseñas de Meari y una lista de 678 empleados con sus correos y teléfonos. No fue necesario hackear nada, solo saber dónde mirar.

La empresa no tomó la investigación en serio hasta que se filtraron datos de sus empleados. Finalmente cortó el acceso a las cámaras y admitió que, bajo ciertas condiciones técnicas, los atacantes pueden interceptar los mensajes de la plataforma IoT EMQX, pero no respondió cuántos modelos estaban afectados ni si la vulnerabilidad ya había sido explotada.

Azdoufal recibió más de 24.000 dólares por encontrar los fallos, pero la compañía le amenazó y trató de fingir que ya conocía los bugs, publicando boletines con fechas alteradas.

Si sospechas que tu cámara es de Meari o de alguna de sus marcas, la recomendación es desconectarla cuando no la uses, ya que el problema está en la nube y no lo puedes arreglar tú. También puedes presentar una queja ante la autoridad de protección de datos si vives en la UE.

¿cómo pudo un hacker ver dentro de tu casa?

El investigador analizó la app Android de Meari y obtuvo una clave que desbloqueó más de un millón de cámaras en todo el mundo. Gracias a la falta de aislamiento entre marcas y a un protocolo MQTT sin cifrar, cualquier persona con la clave podía ver lo que ocurría en tiempo real.

Además, muchas cámaras utilizaban contraseñas por defecto como admin o public, y los videos de alerta se guardaban en servidores de Alibaba sin protección alguna.

las marcas que esconden cámaras vulnerables

Aunque Meari no es una marca conocida, sus dispositivos se venden bajo nombres como Arenti, Wyze, Petcube y SV3C. Todas comparten la misma infraestructura, por lo que la vulnerabilidad afecta a cientos de modelos y a miles de usuarios.

• Arenti
• Wyze
• Petcube
• SV3C
• Boifun

La falta de aislamiento entre estas marcas permite que un atacante que controla una cámara de cualquier marca acceda a todas las demás.

pasos rápidos para proteger tu vigilabebés

Desconecta la cámara cuando no la uses; el problema está en la nube y no lo puedes arreglar desde casa.

Si vives en la UE, considera presentar una queja ante la autoridad de protección de datos por la exposición de tus imágenes.

Revisa siempre que la cámara no use contraseñas por defecto y, si es posible, cambia la configuración de la cuenta y la red IoT a una que ofrezca cifrado.