Por José García, Gerente General de Hikvision
El ejecutivo de Hikvision analiza la vulnerabilidad de las cámaras de seguridad y afirma que cuanto más difícil de piratear una cámara, más probable es que el ciberatacante abandone la tarea y busque una más accesible a sus recursos.
Las cámaras de seguridad modernas están desempeñando un papel importante no solo en el área de seguridad, sino también en el suministro de inteligencia para acelerar la eficiencia operativa y la toma de decisiones en muchas otras áreas comerciales. A medida que se vuelven más inteligentes y complejos, los riesgos de ciberseguridad también aumentan. En los últimos años, el mundo ha visto varios casos de incidentes de ciberseguridad con cámaras, como por ejemplo “Mirai Botnet”, uno de los más resonantes. El malware Mirai se aprovechó de los dispositivos conectados Internet (en modalidad Internet de las Cosas o IoT, por sus siglas en inglés) inseguros de una manera simple pero inteligente. Escaneó Internet en busca de puertos abiertos y luego intentó iniciar sesión con las contraseñas predeterminadas. De esta manera, pudo forjar un ejército de botnets, utilizando la potencia informática de millones de cámaras con contraseñas predeterminadas en todo el mundo.
El caso de la botnet Mirai ocurrió en 2016 y, afortunadamente, la ciberseguridad de los dispositivos IoT ha mejorado significativamente desde entonces. Sin embargo, algunas cosas siguen siendo las mismas y/o no se pueden cambiar. Mikko Hypponen, un ciberevangelista finlandés, es conocido por su declaración: “¡Si un dispositivo es inteligente, es vulnerable! ”. Con esta afirmación demuestra que todos los dispositivos que consisten en hardware y software, y que están conectados a Internet, son inseguros (y por lo tanto, «pirateables»). Aunque esta afirmación data de hace algunos años, sigue siendo cierta y muy relevante, como ejemplo de algo que no ha cambiado.
Los sistemas complejos son atractivos para los piratas informáticos
Las cámaras de seguridad son dispositivos del IoT y, por lo tanto, son vulnerables. También abundan en el mercado en varias formas y son diseñadas, desarrolladas y construidas en diferentes países. Las cámaras actuales son tan avanzadas tecnológicamente que incorporan muchos procesos complejos y gran potencia de computación.
Estos desarrollos tecnológicos proporcionan increíbles capacidades innovadoras de seguridad, así como graves riesgos digitales. Las cámaras constan de componentes avanzados de hardware y software producidos tanto internamente como por terceros. Debido a esta complejidad, dichas cámaras pueden verse como una especie de ecosistema por sí mismas y es extremadamente desafiante protegerlas de manera integral contra las cosas que posiblemente podrían salir mal en este ecosistema. Una cámara se convierte en una interesante y atractiva superficie de ataque para los ‘malos’.
Afortunadamente, la ciberseguridad también ha evolucionado en los últimos años y existen diferentes tipos de medidas de seguridad digital para cámaras que pueden ser aplicadas por los fabricantes. Pero, esto requiere en primer lugar de la disponibilidad del fabricante de la cámara en términos de asignar esfuerzos y recursos a la seguridad de la cámara. Este es un punto clave en esta discusión.
Ciberseguridad incorporada en vez de agregada
Como se dijo antes, todas las cámaras de seguridad son vulnerables. Sin embargo, también es cierto que cuanto más difícil es piratear una cámara, más probable es que el ciberatacante salte a otra cámara que sea más fácil de piratear. Los ciberatacantes son muy inteligentes y sofisticados, pero también muy pragmáticos. Prefieren objetivos fáciles (si logran un resultado similar). Un fabricante de cámaras que invierta en construir una base de ciberseguridad que garantice cámaras más ciberresilientes, se convertirá en un objetivo menos favorable para los ciberatacantes, porque preferirán enfocarse en cámaras que generen los mismos resultados con menos esfuerzo (en otras palabras, más fáciles de piratear).
Todos los fabricantes y clientes de cámaras deben ser plenamente conscientes de que cuanto más ciberresilientes sean sus cámaras, menos atractivas resultan para los ciberpiratas. Esta resiliencia cibernética requiere inversiones serias en ciberseguridad sobre una base sólida, y una de las inversiones más efectivas es la implementación de la Seguridad por diseño en el proceso de producción. Esto significa que la ciberseguridad está incorporada en cada fase del proceso de producción y no es una ocurrencia tardía, cuando la cámara ya ha sido producida e implementada en el sitio del cliente. Un buen ejemplo de un proceso de producción con Seguridad por diseño dentro de la industria del IoT es el Ciclo de Vida de Desarrollo Seguro de Hikvision (HSDLC, por sus siglas en inglés) como se describe en el Documento de Ciberseguridad de Hikvision.
Además de la implementación de la Seguridad por diseño, existen otras inversiones en ciberseguridad que muestran el compromiso de una organización con la ciberresiliencia fundamental de su portafolio de IoT. Un centro de respuesta de seguridad es otro ejemplo. Este centro es un equipo dedicado de profesionales de la ciberseguridad que responde y maneja los incidentes y asuntos de seguridad presentados por los clientes.
Llamada a la acción
Una cámara de seguridad es un dispositivo del IoT y -por lo tanto- es vulnerable ante los ataques de los ciberpiratas. Pero no tiene por qué ser así: los fabricantes de cámaras pueden mejorar la ciberseguridad de sus dispositivos del IoT de forma significativa siempre que tomen esta tarea muy en serio y estén dispuestos a invertir en los componentes fundamentales de su ciberseguridad. La Seguridad por Diseño y el centro de respuesta de seguridad son solo dos ejemplos de estas inversiones. La pregunta a considerar es si una empresa está al tanto de esto y está dispuesta a invertir en ciberseguridad. Porque al final de esta historia, no son necesariamente las cámaras de un área o las cámaras de menor precio las que serán violadas, sino las cámaras de quienes no se toman en serio la ciberseguridad del producto.