Los monitores de bebés son fáciles de hackear

El 2013 un hombre hackeó el monitor de bebes de una pareja en Houston y empezó a gritarle a su hija.

"Despierta pequeña mujerzuela" habría dicho el hombre.

Este es sólo uno en una larga e increíble lista de incidentes muy publicitados y espeluznantes que implican la seguridad de los monitores de bebés conectados a Internet. Aun así y luego de dos años del caso anterior, un gran numero de monitores de bebés (de esos que permiten que los padres vean a sus hijos a través de una app o entrando a un sitio web) todavía tienen serias vulnerabilidades que los dejan abiertos a los hackers maliciosos, de acuerdo a un nuevo estudio.

Por ejemplo en un modelo hecho por Summer Infant, los hackers pudieron acceder a la transmisión en vivo de las cámaras que monitorean los bebés de otras personas. Al aprovechar una vulnerabilidad y adivinando el ID de la cámara, los hackers pueden crear varias cuentas de usuario que les permiten acceder a los portales web de otras personas, de acuerdo al reporte.

Este es sólo el peor ejemplo de acuerdo a Mark Stanislav, uno de los investigadores que analizó 9 monitores de bebés diferente de 8 distintas compañías y les puso nota a su seguridad. Ocho de ellos recibieron la peor nota y otro recibió la penúltima peor nota.

Para muchas de estas compañías que venden monitores de bebés, "la seguridad es un pensamiento posterior" le dijo Stanislav a Motherboard en una entrevista telefónica.

Otro monitor de bebés manufacturado por iBaby Labs, permite un ataque similar. Cualquier usuario del sitio web del aparato, en ibabycloud.com, puede ver la información de otros usuarios adivinando el número de identificación de otro aparato. Esta información incluye el nombre de los archivos guardados, de acuerdo al reporte. En este momento un hacker podría incluso bajar estos archivos guardados en la nube, explicó Stanislav.

"Puedes reunir todos estos nombres de archivo de los vídeos, anexarlos a través de una dirección web y crear un script que baje cada video de cada cámara y de cada usuario" él dijo.

Summer Infant no respondió a nuestro pedido de comentarios. Un vocero de iBaby Labs dijo que la última versión del software no se ve afectada por esta vulnerabilidad y que la compañía le ha dicho a sus usuarios que deben actualizar.

Stanislav y el investigador Tod Beardsley encontraron un total de 10 vulnerabilidades que afectan a monitores de bebés creados por estas dos compañías, así como también Philips, Gyonii, TRENDnet y otros.

En ciertos casos el monitor de bebés tenía contraseñas muy fáciles de adivinar, lo que permitía que los hackers accedieran remotamente a ellos, una vulnerabilidad que es común a los aparatos dedicados al "internet de las cosas". Otro aparato de iBaby Labs tenía "admin" como nombre usuario y contraseña, de acuerdo al reporte.

Un monitor hecho por Philips tiene un problema similar utilizando credenciales codificadas, las que son fáciles de adivinar y no pueden ser cambiadas. También tiene otra serie de errores, incluyendo uno que permite acceder a las transmisiones de otras personas.

Philips, que cooperó con Rapid7 desde que la compañía los contactó, le dijo a Motherboard que la empresa que tiene licencia para vender el producto, Gibson Innovations, está desarrollando una solución a estos errores y que estarán disponibles "en la primera semana de Septiembre del 2015".

TRENDnet, cuya cámara también tienen credenciales codificadas muy fáciles de adivinar (pese a que se puede acceder de forma local y no remota) le dijo a Motherboard a través de un comunicado que lanzarán "prontamente" una nueva versión del software para sus clientes.

Luego que este artículo fue publicado, un vocero de Gynoii dijo que ellos "ignoraron" el email de Rapid7 enviado en julio porque parecía "spam sin un contenido claro", pero agregaron que ahora contactarán a la empresa. También prometió lanzar un parche para que los usuarios puedan cambiar sus contraseñas por defecto.

Ninguna de las otras compañías mencionadas en el reporte respondieron a las peticiones de comentarios por parte de Motherboard. Stanislav también señaló que, en muchos casos, las compañías ignoraron sus reportes o no reacción con mucho entusiasmo.

Al final, y como sucede con otros productor con internet, está claro que los monitores de bebés deben comenzar a construirse pensando en la seguridad. Esto es lo que está abogando Stanislav a través de su compañía sin fines de lucro, BuildItSecure.ly.

En el intertanto los consumidores necesitan saber que "cuando pones una cámara conectada a internet en tu red, estás bajo cierto nivel de riesgo" agregó Stanislav.

"Si te preocupa que acaso sea seguro o no seguro" agregó, "desenchufa la cámara cuando no la estés usando".