En septiembre pasado, los propietarios de cámaras de seguridad Wyze en los EE. UU. se sorprendieron al descubrir que, en lugar de ver imágenes de sus hogares en las transmisiones de sus cámaras web, en realidad estaban mirando las propiedades de otros propietarios de cámaras.
“Fui a revisar mis cámaras y descubrí que habían sido reemplazadas por una nueva… y esto no es mío”, dijo un usuario en Twitter. Reddit. Al final resultó que, este tampoco fue un incidente aislado.
Menos de seis meses después lo mismo paso otra vezEsta vez, 13.000 usuarios de Wyze recibieron miniaturas de las cámaras de otras personas, lo que permitió a otros usuarios ver instantáneas de sus hogares. La compañía dijo en ese momento que “el repentino aumento de la demanda hizo que el sistema confundiera los identificadores de los dispositivos de los usuarios y el mapeo de ID de los usuarios, asociando así las cuentas incorrectas con algunos datos”, lo que no tranquiliza a los usuarios que, comprensiblemente, esperan que las imágenes de sus cámaras de seguridad sigan siendo privadas. .
Wyze tampoco es el único culpable. En 2018, cinco consultores de seguridad europeos encontraron una manera de acceder a imágenes de vídeo de cámaras de seguridad realizadas por Compañía australiana de cisnes Con solo ingresar el número de serie del producto sin necesidad de usuario y contraseña. En 2022, El investigador de seguridad Paul Moore Averiguar que LangerhansSe puede acceder a Eufy Doorbell Dual Camera Feed a través de un navegador web simplemente conociendo la URL correcta sin necesidad de ninguna contraseña.
apoyo gubernamental
Por supuesto, es fácil concluir a partir de estos diversos incidentes que tener un sistema de seguridad en el hogar es más problemático que bueno. Pero la buena noticia es que las cosas están mejorando gracias a la nueva legislación gubernamental y a la creciente conciencia entre el público en general sobre la importancia de las contraseñas seguras.
En abril, el Reino Unido introdujo Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI).. Esto significa que todos los fabricantes de dispositivos IoT (incluidas cámaras de seguridad, televisores inteligentes, refrigeradores inteligentes, etc.) deben cumplir requisitos mínimos de contraseña, cumplir con estándares de seguridad reconocidos (ETSI EN 303 645 e ISO/IEC29147) e informar que los consumidores están limitados a la Período mínimo durante el cual se proporcionan actualizaciones de seguridad para cada dispositivo. De no hacerlo, podría resultar en una multa de £10 millones o el 4% de los ingresos globales.
Mientras tanto, en Estados Unidos, Alianza de estándares de comunicación (el grupo detrás del estándar Matter Smart Home) presentó recientemente Especificaciones de seguridad para dispositivos IoT Para dispositivos de consumo inteligentes, incluidas bombillas, interruptores, termostatos y cámaras. Está desarrollado por casi 200 empresas miembro, incluidas Amazonas, GoogleSchneider Electric y Signify (Philips Hue La especificación estipula varios requisitos para los dispositivos IoT, incluido un identificador único, ausencia de contraseñas predeterminadas programadas, almacenamiento seguro de datos confidenciales y actualizaciones de software durante el período de soporte del producto. Los dispositivos que cumplan estos requisitos podrán llevar el nuevo CSA Seguridad del producto verificada (PSV) firmar. El año pasado, el gobierno de Estados Unidos también introdujo su propio programa. Signo de confianza cibernética Para productos que cumplen con ciertos estándares de seguridad descritos en un informe emitido por Instituto Nacional de Estándares y TecnologíaPsicología (NIST).
“Aún está en su infancia y hasta ahora sólo unos pocos dispositivos han pasado la certificación, pero la idea es que los consumidores en la ferretería puedan verificar la etiqueta y escanear el código QR en el dispositivo para ver qué pruebas han pasado. ”, dijo Chris LaBrie, presidente de Tecnología de CSA. Radar tecnológico“Se espera que los minoristas en línea como Amazon puedan proporcionar una casilla de verificación para enumerar solo los artículos que cumplan con el estándar”.
Mejorar el cumplimiento
Por supuesto, la legislación es una cosa y la implementación es otra muy distinta. En el Reino Unido, la Asociación de Consumidores está trabajando para mejorar la calidad de sus servicios. ¿cual de estos? Reportado recientemente Muchos fabricantes todavía no cumplen con la nueva legislación PSTI, especialmente cuando se trata de informar a los clientes durante cuánto tiempo se proporcionarán actualizaciones de seguridad para los productos adquiridos.
Asimismo, LaBrie reconoce que todavía existe un problema en el “ecosistema” de seguridad doméstica de Estados Unidos, especialmente (aunque no exclusivamente, como vimos antes) las cámaras chinas de bajo precio. “Si vas a Amazon y dices 'dame una cámara IP barata' y la compras, la conectas y sigues las instrucciones, probablemente te hackearán en dos minutos”, añade. Andy Wylie, director técnico senior de la empresa noruega de ciberseguridad Promon, está de acuerdo. “Anteriormente vimos cómo el fabricante chino de productos electrónicos Anker no logró cifrar la señal de la cámara en uno de sus dispositivos inteligentes de seguridad para el hogar. Esta negligencia es un excelente ejemplo de la compensación entre asequibilidad y seguridad”.
Según Richard Hughes, director de ciberseguridad técnica de A&O Cyber, comprar a una marca de renombre siempre es una buena idea. “Si compra productos de una empresa como ADT o Amazon Ring Security, esperará que hayan tenido en cuenta la postura de seguridad de sus dispositivos. Pero si compra dispositivos de una marca desconocida, es muy probable que no lo hagan. dedicó todos los recursos para garantizar que el producto esté libre de vulnerabilidades de seguridad.
Aunque puede resultar irónico pensar en Las mejores cámaras de seguridad para el hogar De hecho, estas aplicaciones pueden aumentar los riesgos de seguridad, por lo que deberían “configurarse adecuadamente en primer lugar, utilizando contraseñas seguras y autenticación multifactor, si está disponible, para controlar el acceso”, explica Stephen Fornell, miembro del IEEE y profesor de ciberseguridad en la Universidad. de Nottingham. Es especialmente importante proteger los dispositivos en los que se ejecutan las aplicaciones de seguridad del hogar, incluidos teléfonos móviles y portátiles.
¿Debería comprar un sistema de seguridad para el hogar? Ciertamente no está exento de riesgos, pero ha habido un claro cambio hacia los dispositivos IoT 'Seguro por diseño'También hay algunos pasos sencillos para Cómo mantener segura tu casa inteligente Lo que puede ayudar a marcar la diferencia.
Al mismo tiempo, los gobiernos y los organismos de normalización están trabajando para mejorar las normas básicas. Los consumidores también pueden hacer su parte implementando contraseñas seguras y asegurándose de que las últimas actualizaciones de seguridad estén instaladas en todos sus dispositivos IoT, así como eligiendo productos certificados que muestren las últimas certificaciones, tan pronto como estén ampliamente disponibles.