Follow us on:
Perspectives

Cámaras digitales: ¿La seguridad insegura?

Monday, 26 September 2016 Maria Jose de la Calle Posted in iTTi Views

Para dar una idea sobre algunas prestaciones de las modernas cámaras de vigilancia, nada como acudir a los anuncios publicitarios, como los mostrados a continuación, los cuales, al mismo tiempo, van a servir de excusa para introducir el asunto de este texto, reflejado en su título: 

"Una gran variedad de lentes de rendimiento con poca luz. Esta amplia gama de lentes de alta resoluci n está especialmente dise ada para cámaras con sensor de gran tama o (de 1/1,8“, 1/2“ y 2/3“). Gracias a la alta calidad de imagen, con una resolución de hasta 4K, cada lente capta todos los detalles y ofrece imágenes nítidas incluso en condiciones de poca luz."

"Las cámaras de control de movimiento 'marca de la cámara' ofrecen un control total de lo que usted elija ver y el nivel de zoom que use para identificar objetos a grandes distancias sin importar el movimiento."

"Permita a su personal enviar vídeo en directo desde sus smartphones, dondequiera que estén permitiendo a su personal enviar vídeo en vivo desde la cámara del dispositivo directamente a su solución 'nombre', la app 'nombre' Mobile proporciona al operador en el centro de control, inmediato conocimiento de los incidentes independientemente de donde ocurran."

"Controla tu hogar/negocio desde tu smartphone".

* *

Digitalización de las cámaras

Las cámaras tanto fotográficas como de vídeo han experimentado una gran evolución, tanto de la óptica como del silicio. Las cámaras cada vez disponen de mayor resolución a menor precio, han pasado de ser analógicas a digitales, han disminuido en tamaño y, para terminar, se les ha dotado de una dirección IP.

No hay más que echar un vistazo a los anuncios con los que se abre este artículo, en los que distintos fabricantes exponen las bondades de sus productos. Mientras que el primero se centra en las propiedades o características ópticas, los dos últimos ya están haciendo una referencia clara a sus propiedades digitales y su conexión a Internet, por medio de la cual intercambiar información.

Debido a esta evolución, las cámaras están por todas partes. Vivimos rodeados de ellas, desde lo más cercano en nuestros ordenadores y otros dispositivos que llevamos encima -teléfonos o elementos para llevar puestos (wearables)-, hasta lo más lejano, como las cámaras de los satélites, pasando por las colocadas en las casas para vigilar la presencia de posibles intrusos; las que custodian -en el exterior o desde dentro- edificios públicos y empresas; las colocadas en las carreteras -cámaras de tráfico-; e, incluso, las nos observan desde un dron.

Las cámaras de vigilancia son elementos que están con nosotros desde hace ya más de una década, y es algo a lo que nos hemos acostumbrado. Pero si al principio sólo servían para vigilar el acceso a ciertos sitios (bancos, museos, hospitales, etc) ahora sería posible hacer un seguimiento de cualquiera que, en una gran ciudad, se desplazase andando o en un medio de transporte, público o privado: "Se encuentra en una zona vídeo-vigilada, por su propia seguridad", nos recuerdan en las estaciones del suburbano.

La revista "Dealer world" publicaba el pasado 14 de junio la noticia[i] de la presentación que tendría lugar, del 21 al 23 de dicho mes, en la feria IFSEC, de una solución de seguridad en la que cooperaban varias empresas: Canon, empresa de cámaras; Intelico, empresa de software que ofrece una aplicación de reconocimiento de matrículas de automóviles; Ipsotek, que aporta un software para el análisis de vídeo y reconocimiento facial; y por último, Digital Barriers que proporciona tecnología inalámbrica. Es decir, la digitalización -entendida como la aplicación de cuanto gira en torno a las Tecnologías de la Información-, ha llevado a dotar de unas funciones muy potentes a los sistemas de vigilancia.

Las cámaras, a la vista del segundo anuncio mostrado al principio del artículo, se pueden manejar a distancia para dirigirlas a un punto determinado, seguir un objetivo en movimiento, o aumentar o disminuir la zona a enfocar. Las cámaras recogen imágenes que son enviadas por medio de tecnología de comunicaciones -cableada o inalámbrica- a un ordenador, dónde son tratadas por un determinado software.

Y las cámaras no siempre están fijas. Por ejemplo las de tráfico colocadas en vehículos policiales. O las que incorporan los tel fonos móviles, que en alguna situación también pueden servir para recoger imágenes y enviarlas - siguiendo el mensaje recogido en el tercer anuncio de los mostrados arriba-.

Más novedoso, aún, resulta el caso de los drones dotados de sus propias cámara con las que sobrevuelan un área determinada. La empresa israelí, Airobotics[ii] acaba de presentar una unidad completamente autónoma que avisa cuando su cámara detecta que algo no va bien y que vuelve a la base cuando se le acaban las baterías, donde le son sustituidas, también de forma automatizada, por otras nuevas (cargadas). Sólo falta acompañar estos nuevos dispositivos y funcionalidades de la regulación correspondiente.

Los centros comerciales nos vigilan

Las imágenes digitalizadas pueden ser tratadas y utilizadas para muchos fines: controlar el acceso a áreas restringidas; investigar delitos; realizar, mediante el fotografiado del planeta, los pronósticos meteorológicos o detectar/predecir la formación de fenómenos naturales destructivos, cartografiar el planeta, como lleva haciendo la empresa Google en los últimos años, cuyos algoritmos de tratamiento de imágenes han sido actualizados recientemente [iii]; o, por qué  no, saber qué  pasos damos en un centro comercial, dónde nos paramos, y, según nuestros gustos, presentarnos ofertas personalizadas. 

Hoy, gracias a los sistemas de reconocimiento facial, es factible la utilización de cámaras de videovigilancia en los centros comerciales para seguimiento del movimiento de los clientes. Ello, unido al seguimiento de la ubicación de los dispositivos móviles que aquellos llevan, a la recogida de la información que generan sus conexiones a redes WiFi o BlueTooth, a la información sobre lo que han comprado, cuánto se han gastado y cómo suelen comprar; permite obtener perfiles bastante precisos de cada cliente.

Según señala el investigador en ciberseguridad y directivo español Chema Alonso, en un artículo[iv] de su blog "Un informático en el lado del mal", "seguir un dispositivo móvil es tan sencillo como poner puntos de acceso WiFi que vayan reconociendo las direcciones MAC[v] de las peticiones de búsqueda de redes WiFi, pero también vale con sniffers[vi] que escuchen el tráfico de red para ver dónde están siendo emitidos los paquetes." 

Continúa el artículo de Alonso explicando que la información capturada de los paquetes que componen el tráfico de una red es especialmente significativa, ya que un terminal emite dichos paquetes en busca de las redes que conoce, adjuntando a cada uno de ellos el nombre de las mismas. Así, si una persona guarda en el historial de su dispositivo una lista de varias de estas redes (la del trabajo, la de casa, la de un amigo o la de un familiar), estará enviando en esos mensajes todos esos datos, permitiendo que el centro comercial los pueda asociar a su dirección MAC, su tipo de dispositivo móvil, junto con el resto de información ya obtenida por otros medios, como su propia imagen obtenida con las cámaras de vigilancia.

¿Seguridad o inseguridad? : LOPD

Se presupone que las cámaras de vigilancia tienen por objeto la seguridad. ¿Pero, la seguridad de quién o de qué?

Como ya se ha apuntado, hoy es posible recoger información de cualquier ciudadano, mediante la captación y posterior reconocimiento de las imágenes obtenidas: información de los sitios que se han visitado, información de la actividad que se ha realizado, etc 

Á este respecto, la Agencia Española de Protección de Datos (AEPD) recoge en su "Guía de Videovigilancia"[vii] "la videovigilancia permite la captación, y en su caso la grabación, de información personal en forma de imágenes. Cuando su uso afecta a personas identificadas o identificables esta información constituye un dato de carácter personal a efectos de la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre de protección de los datos de carácter personal (LOPD)." En el mismo documento puede leerse "es evidente, y así lo ha subrayado en distintas sentencias el Tribunal Constitucional, que la videovigilancia es un medio particularmente invasivo y por ello resulta necesaria tanto la concurrencia de condiciones que legitimen los tratamientos como la definición de los principios y garantías que deben aplicarse."

Consecuentemente, la manipulación inadecuada de imágenes puede atentar contra la intimidad de las personas, requiriéndose que la recogida, uso y tratamiento de aquellas deban estar sujetos a la ley.

En su artículo 6.1, la LOPD dispone que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. Este consentimiento deberá ser, conforme a lo dispuesto en el artículo 3 h) “libre, inequívoco, específico e informado,"[viii] . 

Esto merece alguna reflexión:

1- Libre: sí, somos libres de ir a un sitio u otro; de entrar en un centro comercial o no; de ir por una calle determinada; de coger un medio de transporte u otro; etc. Sin embargo, de lo que no somos libres es de impedir que las múltiples cámaras que hay en cualquiera de esos lugares nos grabe. Por tanto el consentimiento se hace tácito al pasar por la zona de grabación de la cámara.

2- Inequívoco y específico: no puede ser "inequívoco" ni "específico" un consentimiento no solicitado, que, como ya se ha dicho en el punto 1, se supone tácito.

3- Informado: no puede ser "informado" ya que lo único de lo que se informa -si se hace- es de que vamos a ser grabados. Pero ¿para qué? ¿Cómo se van a utilizar esas imágenes? ¿Sabemos quién las va a utilizar?

La guía publicada por la AEPD ha pretendido venir a despejar estas, y otras, dudas aclarando "cuándo deben aplicarse las normas sobre protección de datos a los tratamientos de imágenes" y con el fin "de ofrecer indicaciones y criterios prácticos que permitan el adecuado cumplimiento de la legislación vigente en todos los casos". 

La inseguridad de tener IP

Hoy las cámaras están conectadas a servidores de Internet lo que les permite comunicarse con otros ordenadores, o dispositivo en general, a los que envían los datos (imágenes) recogidos y desde los que pueden recibir instrucciones. Las imágenes recibidas, a su vez, se guardan y/o se tratan.

Todo esto requiere reparar en el hecho de que personas no autorizadas puedan hacerse con los datos (imágenes) en la propia cámara, mediante los datos en tránsito, o, finalmente, en el propio ordenador, donde aquellos pueden estar albergados, según ley, por un período máximo de un mes.

El que las cámaras se puedan manipular a distancia es un hecho, que se ve favorecido por estar dotadas de una dirección IP, lo cual sirve a su vez de reclamo comercial, como señalaba el cuarto de los anuncios reproducidos al principio de este artículo. Pero se trata de un arma de doble filo: de igual modo que el propietario legítimo de la cámara, y sus imágenes, puede manejarla a distancia, incluso con su dispositivo móvil, de la misma manera personas no autorizadas podrán intentar hacerlo.

En el enlace de la novena cita[ix] mostrada al final de este artículo se muestra paso a paso -a efectos meramente educativos- cómo hackear una CCTV. Se sugiere incluso que si el administrador ha cambiado el usuario y la contraseña por defecto, se podrá utilizar herramientas alternativas para conseguir el acceso.

La finalidad de una acción de manipulación indebida de una cámara puede ser la propia cámara, con el fin de hacer que no funcione correctamente, o bien, la red de comunicaciones de la que la cámara forma parte de manera que ésta sirva de puerta de entrada a la red de la empresa. Una vez conseguido el acceso irregular a esta red, un posible atacante estaría en disposición de distribuir código dañino, robar o corromper datos albergados en algún servidor corporativo, etc.

Una situación como la descrita quedaba reflejada en el artículo[x] que el pasado 27 de junio publicaba la empresa SucuriSecurity en su blog. En el mismo se describía cómo se había producido un ataque de denegación distribuida de servicio (DDoS). Mediante una botnet formada por veinticinco mil cámaras de circuito cerrado de televisión repartidas por varios países, se inundaron las páginas web objetivo con hasta 50.000 peticiones HTTP por segundo, lo que produjo el colapso y la inutilización de dichas páginas.

La seguridad de las cámaras no es un asunto baladí.

* *

Para terminar, unas palabras del sociólogo belga Armand Mattelart en la presentación de su libro "La sociedad vigilada", que tuvo lugar el 4 de mayo del 2009 cátedra UNESCO de Comunicación de la Universidad de Málaga:

Antes, el ser fichado era un signo de la delincuencia y hoy no estar fichado es sospechoso, uno esta fichado por la salud, la educación, ... todos los sectores de la vida."[xi] 

* * * 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", septiembre,2016, nº 314, pg.60, Ciberseguridad – "Cámaras digitales: ¿La seguridad insegura?" – María José de la Calle.

-------------------------------------------

[i] "Digital Barriers, Ipsotek, Intelico y Canon presentan soluciones verticales de seguridad", 14 Jun, 2016. Dealer World. url [a 5-07-2016] http://www.dealerworld.es/seguridad/digital-barriers-ipsotek-intelico-y-canon-presentan-soluciones-verticales-de-seguridad   

[ii] "Una fabricante israelí presenta los primeros drones 100% autónomos", 21 Jun, 2016, ElEconomista.es. url [a 5-07- 2016] http://www.eleconomista.es/tecnologia/noticias/7653034/06/16/-Una-fabricante-israeli-presenta-los-primeros-drones-100-autonomos.html 

[iii] "Keeping Earth up to date and looking great", 27 Jun, 2016. Google Maps. url [a 5-07-2016] https://maps.googleblog.com/2016/06/keeping-earth-up-to-date-and-looking.html 

[iv] Chema Alonso, 21 Sept, 2014. "Cómo te espía tu centro comercial por WiFi y BlueTooth". Blog "Un informático en el lado del mal". url [a 5-07-2016] http://www.elladodelmal.com/2014/09/como-te-espia-tu-centro-comercial-por.html 

[v] url [a 5-07-2016] https://es.wikipedia.org/wiki/Direccion_MAC  

[vi] url [a 5-07-2016] https://es.wikipedia.org/wiki/Deteccion_de_sniffer 

[vii] url [a 5-07-2016] https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_videovigilancia.pdf 

[viii] url [a 5-07-2016] https://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/cesion_datos/common/pdfs/2009-0624_Publicaci-oo-n-en-revista-de-foto-ganadora-de-concurso-con-im-aa-genes-de-personas.-No-necesidad-de-consentimiento.pdf 

[ix] Utkarsh Wadhwa. "How to hack Private CCTV Cameras". Mighty Shouts. url [a 5-07-2016] http://www.mightyshouts.com/cctv-cameras/ 

[x] Daniel Cid, 27 Jun, 2016. "Large CCTV Botnet Leveraged in DDoS Attacks". Sucuri Blog. url [a 5-07-2016] https://blog.sucuri.net/2016/06/large-cctv-botnet-leveraged-ddos-attacks.html 

[xi] A.J.L pez, 5 May, 2009. "La Humanidad accederá a la tecnología porque hay que tenerla vigilada". Sur.es. url [a 5-07- 2016] http://www.diariosur.es/20090505/sociedad/humanidad-accedera-tecnologia-porque-20090505.html 

 

Comments (0)

Leave a comment

You are commenting as guest.

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk