Prudencia o paranoia: ¿por qué tapar la webcam?

Entrar a Diputados es tan fácil como acceder a una computadora particular cualquiera. De hecho, el hacker que me introduce a este universo de nuestras debilidades online, me envía la captura de pantalla del contenido de un disco duro de Estados Unidos, que encontró al azar tras una rápida búsqueda.

La debilidad de la web de Diputados, explica esta fuente que sabe de rastreos online y más, radica en una tontería: no se protegió la ruta de los archivos. Este hackeo es muy simple y lo puede hacer casi cualquiera en muchos otros sitios. Consiste, básicamente, en tipear dos o tres palabras correctas en la barra de direcciones de Google Chrome. O del Tor, el navegador favorito de quienes no quieren dejar huellas en internet. Para saber qué comandos tipear, basta indagar un par de minutos en Google.

Lo que es un poco más complejo, aunque no demasiado, es entrar a millones de cámaras web en cualquier lado del mundo. Incluso la suya, o la mía, en este momento. 

 
El riesgo que acarreo

“El hecho de protegerte en línea tiene que ver con tu percepción de que te pueda pasar algo y qué tan grave sería eso”, explicó Matías Dodel, coordinador del Grupo de Investigación Uruguay, Sociedad e Internet de la Universidad Católica. “Para esto, tomemos como referencia lo que ocurría con la gente que se vacunaba o no, cuando las vacunas no eran obligatorias. La relevancia de la protección está relacionada con ser consciente de los riesgos, de lo que podés perder y también con la adquisición de ciertas habilidades digitales que te permitan moverte bien en internet. Hay una diferencia entre lo que recomiendan los expertos sobre ciberseguridad y lo que la gente considera más seguro. Por ejemplo: el tener un doble sistema de autenticación o tener un gestor de contraseñas pueden ser incluso más importantes que tapar tu cámara web”, agregó.

Las cámaras web se revelaron popularmente como el punto débil de las computadoras hogareñas hace poco más de dos años, cuando una foto de Instagram reveló que Mark Zuckerberg cubría la suya con una cinta. Antes todavía, en 2014, había salido a la luz que el organismo de inteligencia de Gran Bretaña y la Agencia de Seguridad Nacional de Estados Unidos habían hackeado y espiado millones de cámaras web de todo el mundo durante varios años. Incluso habían escaneado esas imágenes privadas con software de reconocimiento de rostros para dar con posibles criminales. Quién sabe cuántos uruguayos entraron en esos escaneos al barrer. Pero lo que pesó más a la hora de hablar del tema fue la foto del dueño de Facebook y su cámara cubierta.
Según datos citados por un artículo de Dodel sobre las brechas digitales en ciberseguridad, en 2015 el 14,5% de los internautas uruguayos creían que su intimidad había sido violada en algún punto, mientras que 8% de los europeos afirmaban haber sido víctimas de robo de identidad.

"Hay una diferencia entre lo que recomiendan los expertos sobre ciberseguridad y lo que la gente considera más seguro. Por ejemplo: el tener un doble sistema de autenticación o tener un gestor de contraseñas pueden ser incluso más importantes que tapar tu cámara web”, expresó Matías Dodel, coordinador del Grupo de Investigación Uruguay, Sociedad e Internet de la Universidad Católica

Dodel se mostró prudente y buscó referirse al tema con mesura. “Una cosa es cuán reales sean los riesgos o las probabilidades y otra cosa es qué lleva a que una persona se proteja. Yo creo que potencialmente todo tiene riesgos, el tema es cuán razonable sea que te pase algo. No es que todos tengan iguales chances de que te llegue un virus, pero lo importante es tener las habilidades para detectar dónde meterte y qué aceptar o qué no. Tiene que ver con las competencias digitales para poder gestionar el riesgo. Más allá de tapar o no la cámara, puede ser dónde comprar online, por ejemplo. Depende de tus actitudes y comportamientos”, explicó.

undefined

Sin escondite en internet

De pronto, controlo la cámara de seguridad de una fábrica en Brasil. El link para llegar a ella me lo envió este hacker, quien me demuestra que estos temas están a un clic de distancia. Accedo al menú de la cámara, la giro hacia donde quiero y por un momento me tienta la idea de dejarla enfocando al techo. Si fuera ladrón, si supiera qué fábrica es y estuviera allí, la dejaría mirando al techo para entrar sin ser filmado.

Luego accedo a otro link que me muestra un almacén o quiosco en algún lugar de España. Ahí está una clienta decidiendo qué llevar. Un tercer enlace me muestra a una mujer trabajando en una computadora en algún lugar de Argentina, aunque no distingo si se trata de una casa o una oficina. Con un poco más de conocimiento y paciencia, estas búsquedas pueden hacerse de manera más específica y dirigida. Además, asegura mi hacker, puedo hacerlas desde Chrome o Internet Explorer porque las cámaras web no suelen registrar desde dónde se accede, salvo las que están protegidas con mayores sistemas de seguridad. Pero a esas se las puede atacar también.

“El concepto de esconderse en internet es obsoleto”, dijo Santiago Paz, director de seguridad de AGESIC

“El concepto de esconderse en internet es obsoleto”, dijo Santiago Paz, director de Seguridad de la Información en Agesic (Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento). “Todos nos preguntamos quién querría hackearnos. Pero lo que sucede es que gracias a todos los buscadores, como Google o Bing, internet está superindexada”, añadió.

Paz citó una encuesta de Radar, según la cual el 10% de los usuarios nacionales han tenido algún problema con malware por mail o redes. Se debe tener en cuenta que, aparte de eso, están los usuarios que son o han sido víctimas de eso mismo y no se dieron cuenta, porque no todo virus tranca la computadora o el celular.

“El punto es qué se vulnera con un posible ataque”, agregó Paz. “De las cosas más valiosas que tiene un usuario es su privacidad e intimidad. Claro que tiene más impacto si me roban la plata del banco. Para medir si es pertinente o no protegerse hay que ver que mi intimidad es lo más preciado que tengo; y ahí aparece el tema de tapar la cámara y el micrófono”, apuntó.

undefined

El Google de las cámaras web

En otro mail que recibo viene una larguísima lista de contraseñas para cámaras de seguridad. Son los nombres de usuario y contraseñas que cada fabricante les pone a sus cámaras y que, en general, los usuarios comunes no suelen reconfigurar. Para una cámara Sanyo o una Sony, por ejemplo, el nombre de usuario que pone el fabricante es “admin” y la contraseña también es “admin”. Algunas pocas marcas dejaron de hacer esto y ahora requieren que el usuario configure su propia contraseña al instalarla.

Uno de los mayores ciberataques de la historia ocurrió en 2016 y se logró mediante el acceso masivo a cámaras web. Como puntos vulnerables de las redes, fueron convertidas en puertas de entrada a servidores que golpearon y hasta dejaron fuera de servicio a empresas como Twitter, Spotify, Amazon, Reddit, Tumblr, PayPal, The New York Times, Financial Times y CNN, entre otras. Lo que hicieron los hackers, básicamente, fue atacar a Dyn, un proveedor de internet de Estados Unidos.

Para evitar ser rastreados, los hackers responsables de ese ataque utilizaron sistemas bastante más complejos que los descritos. Pero la base es la misma, ya que apelaron a tomar el control del “internet de las cosas”, es decir, de los aparatos conectados a la red sin protección. Puede tratarse de cámaras, como las de su casa, electrodomésticos, como su smart TV, puertas automáticas, paneles de energía o las computadoras de los autos. La cuestión es dar con esas cosas.

La forma más sencilla de rastrear estos dispositivos es usar un buscador legal y muy público llamado Shodan. Es como Google, pero para manejarlo, claro, hay que tener ciertos conocimientos, ya que no funciona buscando términos como “Playstation conectadas a internet”. Pero la búsqueda se afina más si se escribe “webcam country:uycity:Montevideo”.

“Creé Shodan para que las empresas pudieran rastrear su software y lo que pasó fue que los investigadores de seguridad pudieron usarlo para encontrar todo tipo de software en todos los dispositivos”, dijo John Matherly al portal Vice. “Los desarrolladores de software han hecho análisis de vulnerabilidad en plantas de energía y sistemas así por mucho tiempo. Pero antes de Shodan no tenían datos reales ni estadísticas como para detectar una amenaza. Shodan demuestra que es posible acceder remotamente a cualquier tipo de sistema, como, por ejemplo, una central eléctrica”, dijo.

En la entrevista, Matherly contaba que con su buscador han dado con aparatos insólitos y peligrosos conectados a internet (y, por lo tanto, vulnerables), como un acelerador de partículas, hornos crematorios y hasta una represa hidroeléctrica en Francia. En todos esos casos, explicaba, no había necesidad de identificarse ni de poner una contraseña para verlos y hasta controlarlos.

Para él, una cámara web es una amenaza mínima más allá de la privacidad del usuario. Se convierte en un problema nacional cuando se puede acceder a 100 mil cámaras o a 100 mil dispositivos cualesquiera. Y ahí es donde aparece el riesgo para un usuario común, que puede caer en un hackeo masivo. “Si tienes control sobre muchos dispositivos en un solo país, es verdad que podés hacer daño. Así que, definitivamente, se hace más crítico según los números a los que llegues”.

undefined

Paranoia

En el último tiempo han proliferado los adhesivos y tapas para cámaras de laptops o de dispositivos móviles para aliviar la preocupación (o paranoia) de los usuarios respecto a la vigilancia por gobiernos o ciberdelincuentes. Un producto disponible es el CamPatch. Cada adhesivo cuesta US$ 6,99. También existe Look&Lock, un adhesivo que solo puede ser removido del equipo con una especie de llave. Esta no es más que un imán que mueve el bloqueo de la pieza colocada sobre la webcam. En internet se lo consigue por € 10. O se puede hacer como Zuckerberg y ponerle una cinta.