Tiempo Promedio de Lectura: 3.33 Min.
Los sistemas de video vigilancia (CCTV) son un arma efectiva para controlar áreas en las cuales no existe alcance ocular, y no solo se limita a eso, permite tener una visión de movimientos en el entorno en tiempo real, pueden ser vistas dentro y fuera de la red, algunas con visión nocturna, horas de grabación contínua y muchas más características.
Los sistemas de video vigilancia (CCTV) son un arma efectiva para controlar áreas en las cuales no existe alcance ocular, y no solo se limita a eso, permite tener una visión de movimientos en el entorno en tiempo real, pueden ser vistas dentro y fuera de la red, algunas con visión nocturna, horas de grabación contínua y muchas más características.
Con Bemburn hemos identificado +18,000 dispositivos conectados a internet en Nicaragua, entre los cuales se identificó 58 servicios de videovigilancia activos:
- Hikvision IPCam - 21
- Hikvision Network Video Recorder - 14
- Avtech AVN801 Network Camera - 4
- Panasonic AW-HE50 HD Integrated Camera - 4
- Axis M1114 Network Camera - 3
- Netwave Webcam - 3
- D-Link DCS-2121 Webcam - 2
- Axis M1054 or P3364 Network Camera - 2
- Hikvision DVR UI 2
- Netwave IP Camera - 1
- Axis P1364 Network Camera - 1
- Axis M1124 Network Camera - 1
Un punto fundamental de éstos servicios de videovigilancia es la seguridad de sus accesos, muchos administradores los configuran con el passwords por default o uno fácil de recordar, de ese tema existe un post en el blog NCA, pero en los módem de acceso a internet de Claro en Nicaragua.
Leer: "Modems de Claro Nicaragua, vistos en Internet y con Password por Default!"
Durante los estudios realizados por el equipo de NCA, se encontró que en 38 sistemas de videovigilancia Hikvision, el 15% de éstos contenían claves por default en sus accesos administrativos, como por ejemplo "admin:admin" o "admin:12345", entre las organizaciones encontradas y reportadas están los sistemas de videovigilancia de:
- Canal 4 de Televisión
- John May industrial
- Kinder Montessori Las Colinas
- Parque Industrial de Zonas Francas
- Optica O&M Managua
- Casas Residenciales
- Más...
Los sistemas a los que tuvimos accesos fueron reportados inmediatamente, representaban un peligro a éstas organizaciones, se podía tener acceso absolutamente a todas las áreas monitoreadas y también podíamos crear métricas de las personas que laboran, la cantidad, el tiempo, los horarios, activos visibles, inventarios, equipo rodante y de trabajo... en fin, un sin número de información que en modo terrorista podría causar daños grandes e irreversibles, ésto por la cantidad de información sensible que estaba expuesta!
Si utilizas sistemas de videovigilancia a los que accedes desde fuera de la red, verifica que tus claves de acceso no sean por default y tampoco claves simples, representa un riesgo para los activos personales, familiares y económicos que se buscan salvaguardar, el mismo sistema que se utiliza para "resguardo" se vuelve el arma letal contra ti, veamos un ejemplo en un hecho del día primero de abril 2020:
Leer:"Asaltan microfinanciera FINCA en Managua"
"Los asaltantes se hicieron pasar por clientes, y con el rostro tapado por unas mascarillas no tuvieron problemas para realizar el atraco." Cita la nota de tn8.tv.
Con lo de la "pandemia mundial" del COVID-19 "afectando al país", los asaltantes aprovecharon las mascarillas anti-contagios que prácticamente te cubre el rostro y de manera rápida y eficaz se llevaron un botín de +600 mil córdobas entre otras cosas... que luego fueron "recuperados".
Los sistemas de video vigilancia permitieron brindar información vital para identificar a los asaltantes, pero hagamos un análisis con ésta vulnerabilidad de password por default en juego:
Si los asaltantes toman en cuenta el sistema de videovigilancia antes del atraco, hay muchas probabilidades que su clave de acceso sea débil o sea la clave por default del sistema, esto les hubiese permitido con anticipación detener el estado de grabación del sistema DVR, con éste punto en concreto, muy probablemente le hubiese tomado más tiempo a las autoridades identificarlos o quizás ni eso y habría más posibilidades de que el asalto tuviese éxito.
La seguridad no es un juego, y en Nicaragua lo que hay es una incompetencia de quién instala más sistemas de videovigilancia sin seguir los protocolos de seguridad mínimos para evitar caer en ojos de algún personaje que explote esa vulnerabilidad, empresas, organizaciónes, casas residenciales y muchos otros son los casos vulnerables actualmente a este proceso que debe ser básico en todo servicio de acceso por usuario y contraseña.
Un detalle claro es, la mayoría de administradores de sistemas arriezgan la seguridad de las compañias y demás solo por mantener una clave que sea "fácil" de no olvidar, porque ni recordar quieren ahora.
Síguenos en Twitter: @HackersNCA
BTC Wallet: 1LJsktpT9mANqUaeuwgMxq2wb1UavDinUo
