He estado esperando el momento adecuado para revisar algunas viejas cámaras de seguridad para interiores durante los últimos meses. No se trata de la marca (Blink) o de las cámaras (¡que hasta ahora funcionan bastante bien!). Es que cada vez que me preparo para escribir sobre ellos, surgen noticias como el reciente ataque de Ring ransomware o la red insegura de Eufy, y dejo atrás mis revisiones de cámaras de seguridad.
¿Por qué? Porque cada vez me siento más incómodo recomendando cualquier cámara de seguridad cuando saber si el backend es seguro o no se ha convertido en algo que solo los cazarrecompensas de errores y los clarividentes pueden decirle con seguridad.
Cuando reviso un producto, trato de ser lo más quisquilloso posible. No porque quiera dar una mala crítica, sino porque es mi trabajo ir más allá de los comunicados de prensa idealizados y las hojas de especificaciones para ver las grietas debajo de la superficie.
Una revisión positiva de la cámara de seguridad significa que tomamos su seguridad interna al pie de la letra, pero es difícil confiar en *cualquier* compañía de seguridad en estos días.
Puedes detectar alguno de esos problemas con una cámara de seguridad, como si la calidad del video o la detección de IA no pasan la prueba. Pero incluso con el las mejores cámaras posibles hemos probado y amado, siempre existe el espectro de una brecha desconocida que acecha en el horizonte.
Eso no es algo que yo (o la mayoría de los periodistas tecnológicos) estamos calificados para detectar. Con un teléfono inteligente, podemos probar la mayoría del software y la seguridad por nosotros mismos, y los usuarios tienen un control casi total para bloquear o permitir que las aplicaciones los rastreen. Con una cámara de seguridad, toda la seguridad de los datos se maneja de forma remota, y solo podemos confiar en la palabra de la empresa de que está protegiendo sus datos de forma segura.
El problema es que realmente no poder confiar en una empresa de seguridad para que brinde una evaluación honesta de su ciberseguridad, si alguna vez pudiéramos.
Ya sea que se especialicen en hardware o software, las empresas como Ultimo pase o Eufy tienden a ocultar las infracciones activas durante meses hasta que se hacen públicas y luego minimizan la gravedad con circunstancias atenuantes y jerga técnica.
Incluso con la empresa más segura posible, todo lo que se necesita es un error de phishing o protecciones deficientes en un tercero. afiliarse para convertir su cámara de seguridad en una puerta de entrada para que alguien acceda a las fuentes de su hogar sin que usted lo sepa.
Un flujo interminable de incidentes inquietantes
Vicio informó la semana pasada que un proveedor externo asociado con Ring había sido atacado por el ransomware BlackCat; A los empleados de Ring se les ha dicho "no discutan nada sobre esto", y aún no podemos estar seguros de qué datos de usuario están en juego si Amazon no paga.
Antes de este último incidente, el investigador de seguridad Paul Moore descubrió que las cámaras Eufy enviaban imágenes de los usuarios y datos de reconocimiento facial. a la nube sin su conocimiento o consentimiento, que podrías transmitir alguienLa cámara privada de se alimenta desde un navegador web, y que el cifrado AES 128 de Eufy se descifró fácilmente porque usaba claves simples.
Eufy respondió solucionando algunos problemas y editando sus pautas de privacidad para garantizar menos protecciones para sus usuarios, momento en el que le recomendamos tira tus cámaras Eufy.
En comparación con la escala épica de la brecha de la cámara Verkada, durante la cual Se puede acceder a 150,000 cámaras a través de una contraseña maestra, la mayoría de las fallas conocidas públicamente en los sistemas de seguridad para el hogar conocidos fueron relativamente menores y ocurrieron hace varios años. Pero todavía hay motivos para preocuparse.
En algunos casos, como con Wyze, ocultaron una vulnerabilidad importante con Wyze Cam v1 por tres años hasta que Bitdefender los expuso. Aunque "un atacante externo [podría] acceder a la transmisión de la cámara o ejecutar un código malicioso para comprometer aún más el dispositivo", Wyze se justificó diciendo que el pirata informático necesitaría obtener acceso al Wi-Fi de su hogar y solucionó el problema en sus cámaras más nuevas.
Antes del incidente de ransomware de Ring, se vio envuelto en críticas cuando una fuente le dijo a The Intercept que los contratistas de Ring podían ver las imágenes de los clientes con nada más que una dirección de correo electrónico y que los ejecutivos de Ring sintieron que cifrar las imágenes "haría que la empresa fuera menos valiosa".
Ring eventualmente cedió y encriptó sus cámaras, pero aún atrae críticas frecuentes por dar imágenes del timbre de Ring a la policía. sin el consentimiento del usuario.
Un técnico de ADT accedió a los feeds domésticos 9600 veces con el pretexto de probar los sistemas para espiar a las clientas sin su conocimiento, según Revista de seguridad. Brinks Home accidentalmente les dio a los clientes acceso a los nombres, direcciones y números de teléfono de otros usuarios, pero tomó meses solucionar el problema después de que un cliente les advirtió, informa Ventas de Seguridad.
Podría continuar, o simplemente podría buscar en Google su compañía de seguridad favorita, agregar "brecha" al final y ver algunas historias perturbadoras.
Aceptando lo desconocido
Mi punto general es simple: incluso las empresas de seguridad populares con un cifrado aparentemente inexpugnable harán decisiones que dejan vulnerables sus datos privados o fuentes domésticas, o contratar a alguien que explote su poder en maneras perturbadoras. Y una vez que la empresa se entera, no hay absolutamente ninguna garantía. lo harás averiguarlo a menos que alguien denuncie o un experto en seguridad se dé cuenta de su error.
En este ambiente, revisando alegremente cualquier cámara de seguridad de la compañía por sus méritos y recomendarla a mis lectores se siente irresponsable. es mi trabajo para hacerlo, y escribiré sobre Blink Indoor y Blink Mini una vez que esté claro cómo su empresa matriz maneja el ataque de ransomware Ring.
Podemos revisar las cámaras de seguridad por sus méritos internos, pero no podemos revisar los factores externos que podrían socavar todo lo útil sobre ellas.
Pero al hacerlo, tendré que incluir una gran advertencia de que simplemente no sé cuál es el eslabón más débil de Blink (o de cualquier compañía): un empleado sin escrúpulos, un equipo de terceros poco confiable, un cifrado débil o algo completamente diferente, que podría socavar todo lo útil de ese dispositivo que estoy recomendando
Mientras tanto, puedo indicarle a la gente cámaras de seguridad con almacenamiento local para tratar de evitar mantener su metraje privado en los servidores de la empresa (y ahorrar en tarifas mensuales). Pero eso no siempre es una garantía de seguridad; Por ejemplo, solíamos elogiar las cámaras de Eufy como una opción de almacenamiento local antes de que salieran a la luz sus muchos problemas.