Un grupo de delincuentes informáticos afirmó haber comprometido más de 50.000 cámaras de seguridad domésticas y robar imágenes privadas de las personas. Algunas de las imágenes se publicaron en Internet. Si bien una parte considerable de los videos parece provenir de Singapur, varias personas que viven en Tailandia, Corea del Sur y Canadá también parecen haber sido víctimas de esta invasión a su privacidad.
Algunos videos —cuyas duraciones varían de uno a veinte minutos y muestran a personas de diferentes edades en situaciones íntimas o en varias etapas de desnudez— han sido subidos a sitios web de pornografía.
The New Paper, medio que dio a conocer la historia, dijo que los ciberdelincuentes anónimos afirman haber compartido imágenes robadas con más de 70 usuarios que pagaron 150 dólares por obtener acceso de por vida al botín. La banda, cuyo grupo en Discord tiene casi 1.000 miembros, supuestamente se especializa en comprometer cámaras de seguridad.
Para dar mayor credibilidad a sus afirmaciones, el grupo de ciberdelincuentes ofrece una muestra gratuita que contiene más de 4.000 clips e imágenes en 700 megabytes de datos. Al parecer también están dispuestos a compartir el acceso a todas las cámaras secuestradas con otros miembros. Por otra parte, los “miembros VIP” con tendencias voyeristas recibirán un curso sobre cómo “explorar, ver en vivo y grabar” cámaras que fueron comprometidas por los criminales, lo que podría significar que con el tiempo aumente la cantidad de videos privados que se publiquen.
“Por preocupante que parezca, esto es un claro recordatorio de que cuando las cámaras son conectadas a Internet deben ser instaladas correctamente teniendo en cuenta la seguridad. Cuando se instalan dispositivos inteligentes todavía sucede que son ubicados en el hogar sin que nadie se haya puesto a pensar previamente en el tema de la privacidad”, dijo el especialista en seguridad de ESET Jake Moore. Sin embargo, espera que el incidente sirva para que las personas tomen las precauciones de seguridad correspondientes al configurar sus cámaras inteligentes.
Si bien son escasos los detalles sobre cómo los ciberdelincuentes pudieron acceder a las cámaras que generalmente se usan para aumentar la seguridad o monitorear a los menores, existen múltiples explicaciones plausibles de cómo fueron comprometidas las cámaras.
Al igual que ocurre con otros dispositivos, las cámaras conectadas a Internet no son inmunes a las vulnerabilidades de seguridad. Por ejemplo, hace unos meses, el organismo británico de control en defensa del consumidor Which? advirtió sobre la existencia de 3.5 millones de cámaras de todo el mundo que eran susceptibles de ser comprometidas por actores maliciosos debido a una serie de fallas de seguridad. El año pasado, los investigadores de ESET descubrieron una serie de vulnerabilidades en una cámara en la nube de D-Link que podría haber permitido a los atacantes interceptar la transmisión de video.
La utilización de contraseñas débiles podría ser la causa de los ataques. Es posible que los usuarios hayan mantenido la contraseña predeterminada con la que el dispositivo vino de fábrica y la misma no sería difícil de obtener o adivinar para alguien con malas intenciones. Puede también que haya usuarios que subestimaron la necesidad de una contraseña o de utilizar una frase como contraseña que sea segura y única para un “simple” dispositivo IoT.
Cualquiera que sea el caso, la seguridad de los dispositivos IoT no debe subestimarse, ya que el uso de todo tipo de dispositivos inteligentes tiene profundas implicaciones en la seguridad y la privacidad. Para evitar cualquier dolor de cabeza en el futuro, asegúrese de que todos sus dispositivos IoT tengan actualizado el firmware y que los parches de seguridad sean instalados lo antes posible. Al elegir una contraseña, intente evitar los errores más comunes al momento de crear una. Siempre que sea posible, proteja sus cuentas con doble factor de autenticación. Si está considerando comprar un dispositivo conectado, en lugar de optar por la opción más barata, elija un proveedor de confianza que cuente con un historial comprobado de fabricación de dispositivos debidamente protegidos y que con regularidad envíe actualizaciones y parches durante su ciclo de vida.