Las Bases de Protección Cibernética en Cámaras IP
Las redes informáticas están constantemente bajo ataque. Sin embargo, sólo un pequeño número de estos ataques son exitosos.
La mayoría de los ataques cibernéticos son oportunistas, no se dirigen a una víctima específica, sino que se asoman y empujan al buscar redes / puertos abiertos; intentando contraseñas fáciles de adivinar; identifican servicios de red sin proteger o envían correos electrónicos de phishing. Los atacantes no quieren gastar tiempo ni esfuerzo en un ataque fallido, por lo que simplemente se moverán hacia la próxima víctima potencial.
Si lo considera como el equivalente a un ladrón de autos que se pasea por una carretera intentando agarrar las manijas de las puertas hasta que encuentre un auto que se ha dejado desbloqueado, igualmente es fácil protegerse de los ataques oportunistas siguiendo algunas recomendaciones estándar de endurecimiento cibernético, es decir, ¡no deje la puerta de su carro abierta!
Tener un enrutador con un firewall incorporado, usar contraseñas difíciles de adivinar en su computadora y mantener su sistema operativo y software actualizados son cosas simples que puede hacer en casa. Otras cosas que esperamos que hayan sido escuchadas en los últimos 10 a 20 años, incluyen: no abrir archivos adjuntos de remitentes desconocidos; instalar anti-malware; no instale software de sitios que no sean de confianza y no inserte la memoria USB (Universal Serial Bus) que acaba de encontrar en la calle.
Para la industria de seguridad en particular es necesario preguntarnos:
¿Qué pasa con las cámaras compatibles con IP (Internet Protocol) y cuáles son los riesgos? Si los hay, ¿cuándo los instalas? Afortunadamente, las cámaras no están sujetas a las mismas amenazas que una PC (Personal Computer). Una cámara no tiene usuarios que inicien sesión, instalen software, visiten páginas web o abran archivos adjuntos de correo electrónico. Sin embargo, una cámara tiene servicios que un atacante puede usar como plataforma para otros ataques. La explosión de “Internet de las Cosas” ha llevado a muchos dispositivos insuficientemente seguros y expuestos a Internet, incluidas las cámaras, que son blancos fáciles para que los grupos de piratas informáticos “esclavicen” en redes de bots.
Por lo tanto, aquí hay algunas recomendaciones simples que mitigarán los riesgos de los atacantes oportunistas:
A) REDUCIR LA EXPOSICIÓN DE LA RED
Básicamente, no conecte algo a Internet a menos que realmente sea necesario y si lo hace, entonces comprenda que hacer ese paso requiere que esté lo suficientemente endurecido antes de conectarlo.
El desafío con las cámaras de red es que muchas personas desean acceder de forma remota al video. Las cámaras habilitadas para IP tienen un servidor web y, a menudo, se puede acceder al video con sólo usar un navegador web. Puede parecer una buena idea abrir un orificio en el enrutador / firewall (conocido como reenvío de puertos) y usar un navegador web como el principal cliente de video, pero esto agrega riesgos innecesarios, por lo que no lo recomendamos.
En aras de la apertura, debemos tener en cuenta que hay cámaras que históricamente han soportado el paso NAT (Network Address Translation) UPnP (Universal Plug and Play), un servicio que simplifica el proceso de configuración de reenvío de puertos del enrutador, y que contradice completamente la idea de no abrir puertos de red.
En algunas cámaras de red, como las de Axis, no está habilitado de forma predeterminada y no recomendamos que lo habilites. Hay formas mejores y más seguras de obtener acceso de video remoto. Para individuos y pequeñas organizaciones que no tienen un VMS (Sistema de Gestión de Video), Axis recomienda el uso gratuito del cliente AXIS Companion, que permite el acceso seguro de video remoto sin exponer la cámara (como un dispositivo) a Internet. Para los sistemas que utilizan un VMS, le sugerimos que siga las recomendaciones de sus proveedores de VMS para el acceso de video remoto. Si su video se transmite al público, por ejemplo, una atracción web, entonces le sugerimos que use un proxy de medios con un servidor web de Internet correctamente configurado; y si tiene varios sitios remotos, sería mejor utilizar una VPN (red privada virtual).
B) CONTRASEÑAS DIFÍCILES DE ADIVINAR
Al igual que con casi todos los dispositivos habilitados para Internet, una contraseña es la protección principal de la cámara para evitar el acceso no autorizado a sus datos y servicios. Hay mucho debate sobre la definición de qué es una contraseña segura. Una recomendación común es usar un mínimo de ocho caracteres con una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Un ataque de inicio de sesión de fuerza bruta no es práctico con contraseñas seguras, ya que llevaría miles de años. En un entorno VMS, la autenticación es principalmente máquina-máquina, ya que los usuarios no acceden directamente a las cámaras. Agregar un retraso en el inicio de sesión en un entorno VMS puede aumentar el riesgo de que usted bloqueé su sesión. En organizaciones más pequeñas, los clientes a menudo se conectan directamente a la cámara (autenticación de máquina hombre), por lo que recomendamos usar contraseñas difíciles de adivinar, pero fáciles de recordar. Use frases de contraseña largas como: “Ésta es la frase de contraseña de mi cámara”. Sí, el espacio está permitido. Pero, haga lo que haga, no sólo use la contraseña predeterminada de fábrica.
C) FIRMWARE Y PARCHES DE SOFTWARE
El software está hecho por seres humanos y somos falibles. Por lo tanto, se descubren con regularidad nuevas vulnerabilidades, y seguiremos haciéndolo, incluso cuando hacemos todo lo posible para detectarlas antes de que el software entre en funcionamiento. La mayoría no son críticos, pero algunos pueden serlo, así que siempre mantenga su firmware / software y verifique las nuevas versiones a intervalos regulares. Cuando se descubre una vulnerabilidad crítica, es muy probable que alguien la explote, asumiendo que es económicamente viable para hacerlo. Si un atacante tiene acceso a un servicio de red sin parches, es muy probable que tenga éxito, por lo que es importante reducir esas oportunidades.
D) ATAQUES DIRIGIDOS
Las organizaciones empresariales y de infraestructura crítica están sujetas no sólo a ataques oportunistas, sino también a ataques dirigidos. Éstos utilizarán los mismos vectores de bajo costo que antes, sin embargo, un atacante objetivo tiene más tiempo, recursos y determinación, ya que hay más valor en juego. Para determinar qué controles de seguridad deben usarse para reducir sus riesgos, es importante llevar a cabo el modelado de amenazas y el análisis de riesgos. Este último punto, es un gran tema que merece un artículo específicamente enfocado a analizarse con detalle y mayor seguimiento del lector.
E) RESPONSABILIDADES DEL FABRICANTE
Compañías como Axis Communications, trabajan arduamente para reducir los riesgos de nuestros clientes, lo que incluye mejorar el proceso de desarrollo y el ciclo de vida del producto, mejores controles de seguridad, configuraciones predeterminadas más seguras, interfaces de usuario mejoradas y orientación adicional.
Finalmente, si desea obtener más información y a gran detalle sobre la mejor manera de reforzar sus cámaras IP sin importar de qué marca sean, le recomiendo que consulte la guía en: “www.axis.com”.