Un hacker descubrió que miles de cámaras de seguridad hogareñas de la marca Trendnet podían ser observadas por Internet sin necesidad de tener una clave. Son unas cincuenta mil en todo el mundo, incluso en Argentina.
¿Nunca tuvo la sensación de que lo estaban mirando? Bueno, puede que sí, que lo estén mirando si tiene una de las cincuenta mil cámaras repartidas por el mundo que, por un error técnico, permiten ver qué hacen personas comunes y corrientes de manera pública. No se trata de una nueva versión de Sliver, invasión a la intimidad, aquella película que protagonizaba Sharon Stone y William Baldwin a comienzos de los ’90, en la que el personaje central cableaba el edificio con cámaras de video y grababa lo que hacían sus vecinos. Ni es tampoco una pieza literaria inspirada en 1984, de George Orwell, que ejercía un efecto normalizador en una sociedad de control. Se trata de cámaras de seguridad hogareñas, de esas que se compran para instalar en un maxikiosco, en la entrada de una casa o en su sistema de alarma interior, en el palier de un edificio, en el hall de una institución académica o incluso para cuidar a los bebés desde la distancia mientras duermen plácidamente en la pieza de al lado. A diferencia de los sistemas cerrados antiguos, estas cámaras están conectadas a Internet y, por lo tanto, tienen una “dirección” y se pueden “visitar”.
Era obvio que en algún momento esto iba a pasar: que la interconexión de la vida cotidiana iba a terminar en un descalabro de los derechos a la intimidad más básicos, y que cualquiera puede quedar encerrado en un esquema que puede ser de espionaje: basta con comprarse una de las cincuenta mil camaritas Trendnet que en estos momentos podrían estar transmitiendo las imágenes hacia el mundo sin que sus dueños lo sepan. Página/12 pudo saber que varias de las cámaras “libres” están funcionando en territorio argentino. Entre ellas se pueden ver oficinas de bomberos, salas de espera, lavanderías, negocios de electrónica, almacenes, patios, sótanos, puertas, ventanas, patios, escaleras, entradas, salidas y más patios. Son cámaras fijas, sin sonido, representando la vida real.
El 10 de enero de 2012, en el blog de Console Cowboys se publicó un artículo que mostraba que miles de cámaras Trendnet conectadas a Internet (que se venden en Mercado Libre por 150 dólares) tenían un problema de seguridad que permitía a cualquier usuario mirar esas cámaras en tiempo real, sin necesidad de usar una clave por la web. Rápidamente, las direcciones que tenían esas cámaras se hicieron públicas en los foros más populares de la cultura hacker y el asunto llegó al sitio The Verge. Así, finalmente, la información fue publicada en el servicio de noticias de la BBC londinense. Pero mientras lo hacía conocer en su blog, el hacker le había avisado al fabricante y había subido una serie de imágenes recogidas públicamente desde la web para alertar sobre el problema. La empresa tardó en reaccionar, trabajó en la corrección del “error” del código que había sido desarrollado en 2010: estas miles de cámaras transmiten públicamente desde hace casi dos años y ¿nadie? lo sabía.
El hallazgo abre una vez más el debate sobre la invasión a la privacidad de las tecnologías de conexión, en un contexto en el que compartirlo todo va de lleno con la cultura Facebook. “Este error permite recolectar información en grandes volúmenes. Sin embargo, no sirve demasiado para fines específicos. La posibilidad de utilizar esta información para motivos concretos es bastante discutible cuando se trata de lugares públicos que son en su mayoría los casos encontrados. Donde sí puede ser peligroso es en aquellas cámaras que filman el interior de las casas y muestran personas viendo la televisión o cocinando”, cuenta Felipe Lerena, hacker y activista del software libre, quien asesoró a Página/12 para este artículo.
***
Un anciano mira televisión en Birmingham. En Hong Kong, un hombre le da de comer a su hijo mientras también mira la televisión. En una bella casa de Connecticut un niño duerme en su cuna y es visto desde el aire por una especie de ojo de águila. Desde una puerta de un edificio en Barcelona, se observa una noche fría. En Arequipa, un joven se sienta a escuchar una clase, pero no queda muy claro qué está aprendiendo (pareciera ser un curso de manejo). Un hombre observa la pantalla de su computadora en Cranford. A decir verdad, los enfoques de las cámaras abiertas al público que en estos momentos transmiten por Internet son bastante poco cinematográficos. Parecen más bien cuentos de Raymond Carver.
***
Durante la primera semana de febrero, la empresa Trendnet envió un correo alertando sobre la falla a aquellos usuarios que habían registrado sus cámaras. Pero la cantidad de registrados no supera el cinco por ciento de los productos en el mercado. Según le dijo Zak Wood, director global de marketing de la empresa a BBC se habían encontrado 26 modelos vulnerables, y en siete de ellos ya se había realizado el testeo y se publicó una actualización del firmware, que es el software que viene de fábrica en el artefacto. “Pareciera haber sido un problema de la supervisión del código”, dijo Wood ascético. Es decir, un error humano de implicancia planetaria. El descubrimiento que hizo el autor que “desnuda” esta situación encontró que siguiendo una serie de pasos específicos se podía acceder a la transmisión en vivo. Luego bastaba conocer qué aparatos estaban conectados a Internet con esa cámara asociada y escribir el número IP (Internet Protocol) junto a una secuencia de 15 caracteres. Para hacer la búsqueda de cámaras Trendnet se usó el buscador Shodan, que se especializa en encontrar artefactos: así como Google busca información, éste lo hace con aparatos conectados. De allí a localizarlos en un mapa de Google hay un paso que cualquier programador con mínimos conocimientos puede realizar en unos minutos.
El creador del blogspot Consoles Cowboy, que suele encontrar éste y otro tipo de agujeros en cualquier artefacto o sistema disponible, contó que se compró una cámara Trendnet deseoso de participar de ese mundo en el que cualquier persona puede transmitir su vida filmada desde su web. El autor eligió el modelo TVIP110w, actualizó el firmware (como se dijo antes, el software que viene incorporado en la máquina) y luego de analizar el sistema comprendió que podía poner un enlace en un navegador para ver su cámara en tiempo real sin clave, sin usuario, transmitiendo en vivo para todos. Primero pensó que era un problema suyo: pero el resto de las configuraciones de seguridad estaban correctas. Entonces, el autor decidió probar si podía encontrar otra cámara conectada a Internet de la misma marca a través del sitio Shodan, una plataforma para buscar aparatos. Encontró rápidamente unos 9500 resultados (ver recuadro “Cómo se hizo el descubrimiento”). Y empezó el show.
***
En Bucaramanga, Colombia, un grupo de técnicos repara computadoras como si fuera una operación a corazón abierto. En el gimnasio de Granite Falls en Estados Unidos, a unos kilómetros de Minneapolis, hay un solo deportista usando la bicicleta: el resto de los aparatos está vacío. Una mujer adulta de Swiff Current, Canadá, en camisola, prepara el desayuno, un hombre de la misma edad pasa por detrás con un café en la mano. Una escena familiar, de ésas que abundan en cada casa del planeta. Y, en general, el plano fijo en picada dista de generar tensión dramática.
***
No deja de ser simpático que el slogan publicitario de la empresa sea “redes en las que la gente confía” (networks people trust, en inglés). La solución inicial que ofreció Trendnet fue actualizar el programa que viene incorporado a la cámara y subirlo a su web el 7 de febrero: pero el asunto era cómo contárselo a miles de usuarios esparcidos por el mundo y avisarles también a los distribuidores, los vendedores y hacerlo sin que se note demasiado. Pero ese mismo día, la BBC publicó un artículo alertando a los usuarios londinenses –al fin y al cabo la ciudad más filmada del planeta– sobre el agujero de seguridad. Lo que da a entender Trendnet en el primer comunicado es que ellos no sabían del error y que se enteraron “por Internet” de lo que estaba ocurriendo. “Inmediatamente tomamos acciones para cuantificar el problema, iniciar acciones correctivas y publicamos una actualización que resuelve el error.” La empresa confirmó que se trataba de cámaras compradas entre abril de 2010 y febrero de 2012. La gran mayoría de estos modelos se venden en Argentina.
El 14 de febrero, cuando el escándalo crecía y los hackers ya comenzaban a publicar listas de direcciones de cámaras que transmiten en vivo por todos lados, Pei Huang, presidente y CEO de Trendnet, escribió una carta a sus clientes, que tiene algo de olor a despedida. “Trendnet produjo redes de hardware de alta calidad durante 22 años, y fuimos unos de los primeros en lanzar cámaras IP hace una década. Desarrollamos redes seguras y confiables a precios razonables”, escribió Huang. “Tardamos tres semanas en liberar nuevos firmwares, se reemplazaron los envíos, se avisó a los socios para que avisen a sus clientes y se contactaron 300 proveedores de Internet a nivel mundial. Trabajaremos honestamente para recuperar su confianza.” El cuartel central de la empresa está en Torrance, California, pero tiene oficinas en Europa, Centroamérica, Sudamérica y Asia y vende productos en 125 países. Seguramente usarán sus propias cámaras, sería interesante ver lo que está pasando en esas oficinas en este instante.
Fuente: Página 12