Más que una acusación la siguiente es una historia de reflexión:
Un sábado por la tarde visité a mi primo en su casa, ya saben cosas de familia. Después de una buena conversación, me permitió conectarme a su red para revisar algunos pendientes que tenía. Mientras navega por el Web miré por su ventana y alcance a notar uno de estos nuevos postes, que tanto presume el gobierno del Distrito Federal, con cámara de video vigilancia integrada.
En ese momento no le tomé mucha importancia al tema. Sin embargo, al poco tiempo comencé a notar que mi teléfono inteligente se conectaba y desconectaba constantemente a una red inalámbrica. El tema fue tan recurrente que decidí abrir un programa, disponible para el operativo Android del equipo, que mide la intensidad y cercanía de las redes Wi-Fi, para investigar de dónde provenía la red en cuestión.
Para mi sorpresa la red Wi-Fi (cuyo nombre no mencionaré por motivos de seguridad) correspondía a la de la cámara de seguridad del poste del gobierno del DF, la cual se encontraba con los puertos de acceso abiertos para conectarse a Internet, visible a un simple escaneo de redes y sin contraseña de seguridad.
Basta decir que no me corresponde, por seguridad y porque sería ilegal verificar si la red visible es susceptible a cualquier tipo de ciberataques. Pero como profesional de ciberseguridad una de las reglas básicas que todos aprendemos cuel salmo u oración, es que una red, puerto, sesión o máquina abierta o sin contraseña sólo pueden traer malas noticias e incitar al robo o abuso de los mal intencionados.
Me cuesta trabajo creer que no existan ciudadanos con pocos escrúpulos, quienes con un poco de conocimiento en hacking, un par de herramientas o ataques de inyección de SQL puedan, simplemente, pasar por debajo de uno de estos postes y obtener acceso permanente a todo lo que transmiten las cámaras.
En ese sentido, archivos como las tablas, columnas y datos de la ruta tomada por los vehículos, datos de las áreas geográficas supervisadas, como también el contenido del disco duro integrada y los enlaces de la cámara de seguridad quedarían expuestos al cibercriminal o hacker.
Reitero en el punto, la idea no es señalar culpables o problemas. Pero más allá de si existe o no una vulnerabilidad, la mayoría de los administradores IT deben tomar muy en cuenta la importancia de configurar, cerrar y mantener seguro cada puerto, sesión o ventana de nuestra infraestructura para evitar temas de ciberataques, fugas o robos de información.
Ni qué decir si se trata de información de Seguridad Pública.
El tema no termina en las vialidades de la Ciudad de México, pues el gobierno ya ha comenzado el despliegue e instalación de cientos de cámaras de seguridad y vigilancia dentro de los sistemas colectivos de transporte Metro y Metrobus.
¿Se imaginan qué podría hacer un hacker si lograra vulnerar una de estas cámaras de vigilancia y ganar acceso a la red e infraestructura de la Secretaría de Seguridad Pública?
Debo aclarar que este es un error común para equipos de video vigilancia con conectividad Wi-Fi. Si estos no se configuran de formar correcta basta con un curso de Google Hakcing, un par de comandos y pasos sencillos a seguir para ganar acceso al equipo y espiar exactamente lo que estamos tratando de proteger o vigilar.
Quizá sólo esté siendo paranoico (ya saben gajes del oficio), pero no olvidemos que a medida que más dispositivos conectamos a nuestra red, más espacios estamos entregando para acceder a ella.
Si yo fuera un cibercriminal no entraría por donde me esperan y se han preparado para detenerme, lo haría desde el último lugar dónde se imaginan, sin importar si se trata de un tostador, cafetera o cámara de seguridad con conectividad Wi-Fi.
Gilberto Castro Segura es egresado de la licenciatura en Ciencias de la Informática por el IPN – UPIICSA, es analista en Seguridad de Informática independientemente. Miembro de la comunidad Student Club Microsoft – UPIICSA en 2009 como staff, coordinador de la comunidad Student Club Microsoft -UPIICSA en Enero de 2010.
Síguelo en Twitter en @snakersSecurity
SÍGUENOS
© 2012 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260