jueves, 28 de septiembre de 2023

Compré una cámara china en AliExpress. Tardé 20 minutos en asustarme con lo que encontré



Foto: iStock.



Un madrileño experto en ciberseguridad investigó el dispositivo que había adquirido en la plataforma y no tardó en encontrar un puñado de fallos. Es el resumen perfecto de la doble cara la tecnología 'low cost' que se vende en internet




"Prácticamente, todo lo que toco lo miro y lo investigo minuciosamente. Por ejemplo, cuando solicité el bono joven, busqué errores en la página porque las cosas suelen estar mal hechas", cuenta Pablo Martínez, un madrileño experto en ciberseguridad, más conocido en los foros especializados como Fall. "Mi especialidad es la seguridad física, que tengo mucho ojo para revisar cualquier cosa mecánica, electrónica o software que me llame la atención. Veo los fallos bastante rápido”.

Con esta carta de presentación, la compra de una cámara web de seguridad que realizó en AliExpress hace algunas semanas tenía todas las probabilidades de salir mal. No era nada especial; era uno de esos aparatos como el que miles de personas tienen en su sala de estar, en la habitación del bebé o en su oficina para controlar que todo va bien desde una aplicación en el móvil. La necesitaba para una actividad que iba a organizar en un congreso de ciberseguridad en Ávila y no quería gastar mucho.

Se fijó en un modelo de menos de 30 euros de una marca china, llamada Besder, una auténtica desconocida para el gran público. “Compré de las primeras que me salió tras la búsqueda. Era barata, pero era pintona. Era bonita, grababa en 4K…”, recuerda este especialista, que trabaja en el Red Team de la consultora Entelgy Innotec Security Cuando recibió el pedido, no tardó en realizar el examen al que acostumbra. "La enchufé y tardé 20 minutos en asustarme por lo que encontré y porque, entre otras cosas, enviaba tráfico a servidores chinos", recuerda.

Este asunto, el de enviar datos a servidores fuera de la UE, resulta delicado. El abogado Samuel Parra, uno de los mayores expertos nacionales en la materia, explica que depende del uso que se le vaya a dar a la cámara. Si es para "un ámbito estrictamente privado", no atentaría contra el RGPD. El problema es cuando esa cámara "enfoca a una zona sensible", a la vía pública, pudiendo tomar imágenes de vecinos en caso de un particular o de empleados en el caso de una empresa, vulneraría la normativa.


Varios errores de bulto y uno muy crítico

Localizó varios errores de bulto, pero también una “vulnerabilidad crítica” que permitía saltarse los controles de seguridad cuando el usuario quiere recuperar su contraseña. Algo que dejaba, “sin tener muchísimo conocimiento”, cambiar la contraseña de cualquier usuario, acceder a un perfil con permisos de administración, desactivar alarmas y otro tipo de avisos, eliminar imágenes y vídeos o ver el streaming de la propia cámara.

El agujero por el que este experto logró colarse estaba relacionado con el QR Captcha que se debía escanear con la aplicación móvil para confirmar que el usuario estaba intentando recuperar sus credenciales. "El nombre de usuario necesario para llevar a cabo este paso era fácil de obtener, ya que en la mayoría de los casos, a menos que se cambie, es una palabra como admin", explica. El especialista analizó el comportamiento y el tráfico de red de la aplicación móvil para descubrir la vulnerabilidad. "Si la cámara está conectada y expuesta en internet, sería fácil explotarla".


Tráfico a servidores chinos, fácil acceso a cámaras conectadas... Eso es lo que el investigador descubrió en 20 minutos


Pablo, quien documentó todo el proceso en un extenso artículo, no tardó en registrar lo que en la jerga especializada se conoce como una CVE, que no es más que un registro que certifica la existencia de esa vulnerabilidad y documenta todo lo relacionado con ella: el fallo, el dispositivo, la marca, etc. La base de datos de CVE está gestionada por una corporación estadounidense llamada Mitre, que, además de contactar al fabricante correspondiente, la incluye en un listado público con un identificador único.


placeholderFall compró la camara por AliExpress. (Reuters)
Fall compró la camara por AliExpress. (Reuters)

Fall, que cuenta con un canal de divulgación sobre ciberseguridad en YouTube, no confía en que Besder, el fabricante en cuestión, responda a estos avisos y lance un parche para solucionarlo. También cree que hay muchas más cámaras que adolecen de esta brecha de seguridad. Y la razón para creer una cosa y otra es exactamente la misma: utilizan una app hecha por terceros para funcionar. “Si buscas por el nombre de la aplicación XMEYE en AliExpress te salen muchos más resultados”, puntualiza. “Está claro que el software no se ha hecho a mano. Así que mi sospecha es que por así decirlo recurren a una solución genérica para ahorrar costes”.

Con este trabajo de investigación, este madrileño asegura que no tiene más intención que generar sensibilidad sobre el uso de productos electrónicos y hardware de IoT de baja calidad. "El conocimiento es esencial para protegernos de hardware que, en mi opinión, está troyanizado", concluye este investigador en su artículo.


Mercados grises y falsificaciones

Este clase de gadgets tirados de precio son fáciles de encontrar en plataformas de comercio digital como AliExpress o la recién llegada Temu. En muchas ocasiones, los vendedores que están ubicados en otros países utilizan estos canales para vender en España productos que no han sido certificados para comercializarse en Europa o incluso productos falsificados. En Amazon también se cuelan, en más de una ocasión, dispositivos de marcas desconocidas que levantan suspicacias.


"El conocimiento es esencial para protegernos de 'hardware' que, en mi opinión, está 'troyanizado"


"No es algo nuevo en el sector tecnológico. Sin embargo, recientemente hemos observado un aumento significativo tanto en el mercado gris como en la proliferación de productos falsificados", declaró Lenovo en un comunicado publicado recientemente. La compañía china, el mayor fabricante de PC del mundo y propietaria de Motorola, entre otras marcas, es un objetivo común de los anuncios de Temu en Instagram y otras redes sociales para atraer clientes en España. En estos anuncios se ofrecen descuentos agresivos en auriculares que la compañía no vende oficialmente en nuestro país. "Este aumento puede atribuirse, en parte, a la aparición de nuevos mercados en línea que intentan atraer a los consumidores basándose en el atractivo de las marcas globales, pero carecen de los procesos y la voluntad para detectar o disuadir actividades ilegales", dice el comunicado, que promete tomar "medidas" contra los productos de su compañía importados sin autorización.

El caso de Lenovo es solo un ejemplo de cómo estos marketplaces pueden utilizarse para vender una gran cantidad de productos defectuosos que no cumplen con los estándares de seguridad o privacidad. "Es bastante común encontrar vulnerabilidades de este tipo", cuenta Omar Benbouazza, gerente de ciberseguridad de IKEA y cofundador de la RootedCON, uno de los encuentros más destacados en Europa sobre este tema.


Cómo evitar estos problemas

"Al tratarse de productos que no se comercializan directamente en Europa, no están obligados a cumplir con ninguna normativa en cuanto a calidad o seguridad", señala. También destaca que "los riesgos que se asumen, pensando que se está ahorrando mucho dinero, no compensan a largo plazo". "No es solo que tengan agujeros de seguridad, sino que estas marcas rara vez proporcionan actualizaciones. Prácticamente, quedan obsoletas desde el momento en que se adquieren".

A pesar de que ningún sistema de seguridad esté completamente libre de riesgos, Benbouazza señala algunas precauciones que se pueden tomar al adquirir este tipo de productos. Uno de los consejos es verificar que tengan la etiqueta CE, que indica que cumplen con los estándares mínimos.

"Es cierto que muchos vendedores falsifican estas etiquetas, por lo que es importante comprar en lugares de confianza y a marcas de confianza. También es importante prestar atención al historial de actualizaciones de seguridad o firmware de otros productos", advierte. Una vez se reciba el producto, explica que se pueden tomar medidas adicionales como cambiar las contraseñas por defecto que traen, cifrar la imagen y revisar las actualizaciones periódicamente. Para aquellos que piensan que no tienen nada que ocultar y que no pueden ser víctimas de un ataque de este tipo, Benbouazza recuerda: "Todos somos objetivos. Hay un falso mito. Todos tenemos una privacidad que no queremos que se viole".