{"id":85794,"date":"2023-08-24T15:39:42","date_gmt":"2023-08-24T15:39:42","guid":{"rendered":"https:\/\/somoscordobeses.com\/2023\/08\/24\/alerta-por-una-falla-grave-de-seguridad-en-una-de-las-camaras-de-videovigilancia-mas-vendidas-en-argentina\/"},"modified":"2023-08-24T15:39:42","modified_gmt":"2023-08-24T15:39:42","slug":"alerta-por-una-falla-grave-de-seguridad-en-una-de-las-camaras-de-videovigilancia-mas-vendidas-en-argentina","status":"publish","type":"post","link":"http:\/\/cordobainforma.info\/index.php\/2023\/08\/24\/alerta-por-una-falla-grave-de-seguridad-en-una-de-las-camaras-de-videovigilancia-mas-vendidas-en-argentina\/","title":{"rendered":"Alerta por una falla grave de seguridad en una de las c\u00e1maras de videovigilancia m\u00e1s vendidas en Argentina"},"content":{"rendered":"

sabias que datos curiosos<\/a>
\nUltimas Noticias y datos curiosos<\/a> <\/p>\n

\n

Dos investigadores argentinos<\/strong> dieron a conocer una falla grave<\/strong> de seguridad<\/strong> en una serie de modelos de c\u00e1maras de videovigilancia muy populares en Argentina, de la marca Ezviv<\/strong>. La presentaci\u00f3n fue en Defcon<\/strong>, la conferencia de hackers m\u00e1s grande del mundo, que se hace todos los a\u00f1os en Las Vegas.<\/p>\n

\u201cSi un atacante quisiera, podr\u00eda aprovechar esta vulnerabilidad para usarla como en La Gran Estafa<\/strong><\/em> y reemplazar evidencia en vivo al mejor estilo Hollywoodense<\/strong>\u201d, explic\u00f3 a Clar\u00edn <\/strong>Octavio Gianatiempo, quien junto a Javier Aguinaga explic\u00f3 c\u00f3mo funciona esta vulnerabilidad.<\/p>\n

Gianatiempo encontr\u00f3 el problema cuando su jefe le pidi\u00f3 una mano para arreglar una c\u00e1mara porque no funcionaba. Como todo hacker, \u201cuna cosa llev\u00f3 a la otra\u201d<\/strong> y terminaron analizando el firmware <\/em>de la c\u00e1mara (el programa que est\u00e1 embebido en el dispositivo) y buscando vulnerabilidades.<\/p>\n

\u201cLa propuesta de la charla fue mostrar c\u00f3mo encontramos estas vulnerabilidades y c\u00f3mo podr\u00edan ser aprovechadas por un atacante. Las mismas permiten tomar control total de la c\u00e1mara desde la red local cableada o Wi-Fi <\/strong>a la cual se conecta. Una vez que un atacante toma control de la c\u00e1mara, puede hacer lo que desee\u201d, cuenta Gianatiempo.<\/p>\n

\u201cEn nuestro caso y para ilustrar el potencial riesgo de este escenario, mostramos c\u00f3mo un atacante podr\u00eda modificar el feed de video sin que una v\u00edctima se de cuenta. Esto podr\u00eda ser usado c\u00f3mo en La Gran Estafa<\/em><\/strong>\u201d, agrega, en referencia a la pel\u00edcula de 2001 en la que un grupo de delincuentes orquestan un robo de 5 casinos en, precisamente, Las Vegas.<\/p>\n

\"Ezviz, <\/p>

Ezviz, la marca que presenta una falla que puede ser explotada por hackers. Foto Ezviv <\/figcaption>

El sentido de este tipo de investigaciones tiene que ver con alertar sobre los problemas que pueden tener dispositivos que se usan mucho, como este tipo de c\u00e1maras de seguridad, adem\u00e1s de alertar sobre el problema para que la marca oficialmente lance un parche de seguridad.<\/strong><\/p>\n

\u201cDe fondo, lo que buscamos es generar conciencia sobre un problema que persiste en la industria de IoT <\/strong>y dispositivos conectados a internet. Los est\u00e1ndares y pr\u00e1cticas de seguridad en el desarrollo de su software tienen mucho por mejorar en comparaci\u00f3n a otras industrias, incluso en los dispositivos est\u00e1n pensados para ser usados en contextos de vigilancia o seguridad, como es el caso de las c\u00e1maras\u201d, agrega.<\/p>\n

\u201cEsto es a\u00fan peor en los modelos de bajo costo <\/strong>dado que las malas pr\u00e1cticas se combinan con su masividad, incrementando el impacto de las vulnerabilidades que poseen\u201d, sigue el analista.<\/p>\n

El a\u00f1o pasado, ambos investigadores presentaron en Defcon 30<\/strong> y Ekoparty<\/strong>, una de las convenciones de hacking m\u00e1s grandes de Am\u00e9rica Latina, una vulnerabilidad muy grave en uno de los m\u00f3dems m\u00e1s vendidos en toda la regi\u00f3n.<\/p>\n

El descubrimiento y la reacci\u00f3n de Ezviv<\/h2>\n

\"Octavio <\/p>

Octavio Gianatiempo y Javier Aguinaga, en la \u00abHardware Hacking Village\u00bb de Defcon. Foto Juan Brodersen <\/figcaption>

Una vez que fue reportado el problema por Gianatiempo y Aguinaga, Ezviv emiti\u00f3 un comunicado<\/strong> para que los usuarios actualicen el software de las videoc\u00e1maras. Sin embargo, una de las dificultades que tienen este tipo de problemas es que no todos actualizan.<\/strong><\/p>\n

\u201cLas actualizaciones de firmware de los dispositivos embebidos siempre tienen una mayor resistencia por parte de los usuarios. Quiz\u00e1s porque cometer un error en el proceso puede dejar el dispositivo inutilizado (\u00abbrickeado<\/strong>\u00ab, como se dice)\u201d, analiza el hacker.<\/p>\n

\u201cHist\u00f3ricamente deb\u00edan ser aplicados de forma manual por los usuarios. Para cambiar esta situaci\u00f3n los fabricantes est\u00e1n pasando a actualizaciones autom\u00e1ticas o no cancelables por parte del usuario, s\u00f3lo postergables por cierto periodo de tiempo<\/strong>, como en el caso de los sistemas operativos. En el caso de estas c\u00e1maras es una situaci\u00f3n intermedia: la aplicaci\u00f3n notifica al usuario pero puede elegir no actualizar\u201d, adiverte.<\/p>\n

En este sentido, cuando se descubren vulnerabilidades de este tipo, las empresas suelen tener canales de comunicaci\u00f3n oficiales para recibir los reportes de los problemas y arreglarlos.<\/p>\n

\u201cCada vez es m\u00e1s frecuente que las marcas tengan un contacto de seguridad para reportar vulnerabilidades y un equipo encargado de estudiar los reportes que reciben. Una vez establecida la validez del reporte, se suele acordar un cronograma de parcheo y distribuci\u00f3n de la actualizaci\u00f3n a los usuarios<\/strong>\u201d, explica el hacker.<\/p>\n

\u201cLuego que la actualizaci\u00f3n est\u00e9 disponible, o que cierto porcentaje de los usuarios haya parcheado, el fabricante suele emitir un comunicado sobre la vulnerabilidad dando cr\u00e9dito a quienes reportaron y los investigadores pueden hacer p\u00fablico su hallazgo\u00bb, suma.<\/p>\n

Algunas empresas recompensan econ\u00f3micamente o tienen programas de caza de vulnerabilidades (bug bounty<\/em>), aunque tambi\u00e9n existe un mercado paralelo en el que se compra y vende este tipo de informaci\u00f3n (exploits) con un sistema de brokers<\/em>.<\/strong><\/p>\n

Qu\u00e9 hacer en caso de tener este modelo de c\u00e1mara\u200b<\/h2>\n

Cuando se detectan estos problemas la regla urgente es siempre la misma: actualizar el software. <\/p>\n

\u00abCon respecto a este caso es posible actualizar el firmware de c\u00e1maras desde la aplicaci\u00f3n m\u00f3vil que las administra, se llama EZVIZ App y est\u00e1 en el Google Play Store\u00bb, explica a Clar\u00edn <\/strong>Ernesto Bernal, investigador en ciberseguridad.<\/p>\n

\u00abUna vez agregada nuestra c\u00e1mara debemos ir en \u2018Ajustes\u2019, \u2018Versi\u00f3n del Dispositivo\u2019 y all\u00ed podemos ver la versi\u00f3n actual que tenemos instalada y tenemos la posibilidad de actualizar a la m\u00e1s reciente\u00bb, sigue.<\/p>\n

Esto tiene que ver con que Ezviv lanz\u00f3 un parche de seguridad para este problema y, hasta que el usuario no haga la actualizaci\u00f3n, no estar\u00e1 cubierto.<\/p>\n

\u00abLa recomendaci\u00f3n es siempre tener actualizado nuestro firmware a la \u00faltima versi\u00f3n disponible para evitar estar expuestos a vulnerabilidades que puedan afectar nuestra privacidad\u00bb, cerr\u00f3 Bernal.<\/p>\n

SL<\/em><\/p>\n<\/div>\n