Las preocupaciones de seguridad afectan a los timbres con vídeo populares

Investigaciones recientes realizadas por investigadores de seguridad de Consumer Reports han revelado importantes vulnerabilidades de seguridad en cámaras de timbre con video populares, específicamente aquellas fabricadas por EKEN y vendidas bajo varias marcas, incluidas Tuck, Aiwit, Fishbot y Gemee. Los hallazgos, encabezados por Consumer Reports, resaltan una inquietante facilidad con la que estos dispositivos conectados a Internet pueden verse comprometidos, lo que plantea graves riesgos para la privacidad del consumidor y la seguridad del hogar.

Fallos de seguridad atroces

La principal vulnerabilidad identificada implica la capacidad de una persona no autorizada de obtener control total sobre una cámara de timbre EKEN explotando el proceso de emparejamiento del dispositivo. Con solo presionar el botón del timbre durante un período prolongado, un intruso puede iniciar el modo de emparejamiento de la cámara. Luego pueden usar la aplicación Aiwit, asociada con más de un millón de descargas, para vincular el dispositivo a una nueva cuenta, cortando efectivamente la conexión con el propietario original. Esta infracción permite a usuarios no autorizados no sólo ver la transmisión en vivo desde la cámara sino también controlar sus funciones y determinar su número de serie.

Si bien el propietario puede rectificar fácilmente esta pérdida de control simplemente volviendo a emparejar el timbre, el atacante puede usar el número de serie recuperado para continuar accediendo a imágenes fijas de cualquier evento de movimiento que se capture. No se requiere contraseña, ni cifrado, y ni siquiera una cuenta con el fabricante del timbre para hacer esto, lo que puede continuar indefinidamente sin el conocimiento del propietario o sin la capacidad de cortarlo. Este número de serie o las imágenes fijas pueden, por supuesto, compartirse ampliamente para que cualquiera pueda verlo.

«Lamentablemente, los datos personales no cifrados en el tráfico de la red no son infrecuentes en los dispositivos conectados, pero me sorprendió encontrar un agujero de seguridad tan grande que permite a completos desconocidos recopilar libremente miniaturas de vídeos privados». — Steve Blair – Ingeniero de pruebas de privacidad y seguridad

Para agravar el problema, estos dispositivos también ponen en peligro la privacidad del usuario al transmitir datos confidenciales, como la dirección IP del propietario y el nombre de la red Wi-Fi, sin cifrar a cualquier persona dentro del alcance. Esta falta de seguridad puede conducir a un acceso más amplio a la red, exponiendo aún más a las personas a amenazas cibernéticas e invasiones de la privacidad. La difusión de imágenes fijas capturadas por las cámaras, accesibles sin autenticación segura, añade otra capa de vulnerabilidad, proporcionando a posibles intrusos información visual sobre las instalaciones y rutinas del propietario.

Batir y quemar

A menudo he dicho lo incómodo que me siento al recomendar estas marcas de bajo costo a cualquiera. Estos productos, también conocidos como productos de «caja blanca», se producen en masa y se venden al por mayor a cualquiera que quiera lanzar rápidamente productos en ese segmento. Un cambio de marca rápido y estarán a la venta en mercados en línea de todo el mundo.

Esta práctica es lo que yo llamo «batir y quemar»: producir un nuevo producto a un precio de ganga, vender un montón de ellos y luego pasar al siguiente. Los vemos todo el tiempo en Amazon y mercados similares, un montón de opciones de productos baratos con marcas extrañas que parecen inquietantemente similares.

«No tienen mucho inventario y aparecen y desaparecen, navegando por las tendencias de los mercados de productos básicos». — Andrew Huang – Ingeniero y experto en software

Crear un producto funcional mínimo viable al menor costo es la clave, por lo que no obtiene soporte real, ni garantía y, lo más importante, cero inversión en seguridad. La seguridad debe estar integrada en el diseño para que sea eficaz. Requiere tiempo y costosos recursos expertos que estos fabricantes de dispositivos simplemente no quieren pagar. El plan desaparecerá hace mucho tiempo cuando sus clientes tengan algún problema, entonces, ¿para qué molestarse? Este tipo de inversión sólo es importante para las marcas reales a largo plazo que se preocupan por su reputación en el mercado.

¿Eken está haciendo algo al respecto?

A pesar de los esfuerzos de Consumer Reports por resaltar estos defectos críticos, los principales mercados en línea, incluidos Amazon, Sears y Shein, han tardado en reaccionar y los productos siguen estando disponibles para su compra. Esta disponibilidad continua plantea dudas sobre el compromiso de estas plataformas con la seguridad del consumidor y la eficacia de sus procesos de investigación de dispositivos domésticos inteligentes. Por el contrario, el minorista en línea Temu demostró una postura proactiva al suspender inmediatamente las ventas y realizar una Análisis de los productos implicados vendidos por la propia Eken. Sin embargo, seguían a la venta modelos muy similares de otras marcas, por lo que esto puede ser una respuesta simbólica.

El fabricante de estos timbres, la empresa china EKEN, no respondió a las preguntas de Consumer Reports sobre estos temas.

Este incidente subraya un desafío más amplio dentro del ámbito de los dispositivos conectados a Internet: la necesidad de estándares sólidos de privacidad y seguridad. A medida que los consumidores integran cada vez más la tecnología inteligente en sus hogares, la responsabilidad de garantizar que estos dispositivos estén a salvo de la explotación recae en los fabricantes y minoristas. El estuche de la cámara del timbre EKEN sirve como un claro recordatorio de las posibles consecuencias de descuidar este deber.

¿Qué pueden hacer los consumidores?

A la luz de estos avances, se recomienda a los consumidores que tengan mayor precaución al seleccionar e instalar dispositivos domésticos inteligentes. Determinar qué tan seguro es un dispositivo de consumo conectado puede ser prácticamente imposible para la mayoría de las personas, pero esto es especialmente importante cuando se trata de dispositivos basados ​​en cámaras, como timbres con video.

El mejor consejo que puedo dar es seguir con marcas probadas y evitar estas marcas de caja blanca con un montón de letras al azar. Las marcas probadas no sólo tienen un papel en el juego, sino que su reputación comercial está en juego, sino que también tienden a atraer mucho más escrutinio por parte de los investigadores de seguridad y la prensa tecnológica y es posible que cuenten con programas de recompensas por errores para incentivar el descubrimiento de vulnerabilidades para que puedan pueden arreglarse antes de que alguien los explote.

Si ya tienes uno de estos productos y estás dentro del plazo de devolución, úsalo lo antes posible. De lo contrario, me temo que lo único que puedes hacer es tirarlo. Los riesgos de privacidad y seguridad son tan graves e irreparables que no se pueden seguir utilizando y no hay ninguna posibilidad de que estas marcas solucionen el problema o proporcionen algún alivio.

Destacado 3 de marzo de 2024 Las preocupaciones de seguridad plagan los timbres con vídeo populares 3 de marzo de 2024

Los productos de cámaras de consumo baratos son siempre una propuesta arriesgada cuando se trata de privacidad. Los timbres con vídeo de Eken nos muestran lo mal que pueden ponerse las cosas cuando a las empresas no les importa.

3 de marzo de 2024 28 de febrero de 2024 Por qué realmente debería utilizar un administrador de contraseñas 28 de febrero de 2024

Todos utilizamos muchos servicios en línea que necesitan contraseñas. ¿Cómo podemos gestionarlos de forma segura?

28 de febrero de 2024 22 de febrero de 2024 Análisis de WUUK Video Doorbell Pro: funciones repletas de tarifas 22 de febrero de 2024

WUUK, el advenedizo de las cámaras inteligentes, tiene un gran contendiente en el espacio de los timbres con video. Repleto de funciones, ofrece un excelente rendimiento a un precio asequible y no requiere suscripción.

22 de febrero de 2024 20 de febrero de 2024 Cómo usar Ring con HomeKit 20 de febrero de 2024

¿Quieres conectar tus dispositivos Ring a HomeKit? Bueno, aquí te explicamos cómo hacerlo sin gastar mucho dinero y arrancarte el pelo.

20 de febrero de 2024