Pablo Martínez, un madrileño experto en ciberseguridad, más conocido en los foros especializados como _Fall_ hizo un test de privacidad sobre una cámara de seguridad que había comprado en AliExpress.
No era nada especial; era uno de esos como el que miles de personas tienen en su sala de estar, en la habitación del bebé o en su oficina para controlar que todo va bien desde una aplicación en el móvil.Cuando recibió el pedido, no tardó en realizar el examen al que acostumbra. «La enchufé y tardé 20 minutos en asustarme de lo que encontré, y por que, entre otras cosas, enviaba tráfico a servidores chinos».
Este asunto, el de enviar datos a servidores fuera de la UE, resulta delicado. El abogado Samuel Parra, uno de los mayores expertos nacionales en la materia, explica que depende del uso que se le vaya a dar a la cámara. Si es para «un ámbito estrictamente privado», no atentaría contra el RGPD. El problema es cuando esa cámara «enfoca a una zona sensible», a la vía pública, pudiendo tomar imágenes de vecinos en caso de un particular o de empleados en el caso de una empresa, vulneraría la normativa.
Localizó varios errores de bulto, pero también una “vulnerabilidad crítica” que permitía saltarse los controles de seguridad cuando el usuario quiere recuperar su contraseña. Algo que dejaba, “sin tener muchísimo conocimiento”, cambiar la contraseña de cualquier usuario, acceder a un perfil con permisos de administración, desactivar alarmas y otro tipo de avisos, eliminar imágenes y vídeos o ver el streaming de la propia cámara.
El agujero por el que este experto logró colarse estaba relacionado con el QR Captcha que se debía escanear con la aplicación móvil para confirmar que el usuario estaba intentando recuperar sus credenciales. «El nombre de usuario necesario para llevar a cabo este paso era fácil de obtener, ya que en la mayoría de los casos, a menos que se cambie, es una palabra como _admin_», explica. El especialista analizó el comportamiento y el tráfico de red de la aplicación móvil para descubrir la vulnerabilidad. «si la cámara está conectada y expuesta en internet, sería fácil explotarla».
Cree que hay muchas más cámaras que adolecen de esta brecha de seguridad. Y la razón para creer una cosa y otra es exactamente la misma: utilizan una app hecha por terceros para funcionar. “si buscas por el nombre de la aplicación xmeye en aliexpress te salen muchos más resultados”, puntualiza. “Está claro que el software no se ha hecho a mano. Así que mi sospecha es que por así decirlo recurren a una solución genérica para ahorrar costes”.
Info completa: El confidencial
