Seguridad en América | Post

Dichos sistemas, están cada vez más conectados a Internet, impulsados en gran parte por la demanda del cliente por acceso remoto a video.

Normalmente los sistemas de video suelen ser de tres tipos:

1.    Sistemas tradicionales DVR/VMS/NVRs conectados a Internet.

2.    Sistemas tradicionales DVR/VMS/NVRs conectados a una red local que a su vez está conectada a Internet.

3.    Sistemas administrados en la Nube.

Para maximizar su seguridad, es imprescindible definir mejores prácticas para su propia empresa como parte de la evaluación del sistema de su cámara de seguridad, así como su implementación y mantenimiento.

Es recomendable proteger a su empresa y clientes con medidas de prevención, entonces hablemos de las vulnerabilidades principales y cómo contrarrestarlas.

VULNERABILIDAD DESDE LA CÁMARA

Se estima que uno de cada cinco usuarios de la web todavía usan contraseñas fáciles de vulnerar. Casi todas las cámaras vendidas hoy en día tienen una interfaz de usuario basada en web (GUI), y vienen con un usuario y contraseña por defecto que es publicada en Internet.

Algunos instaladores nunca cambian la contraseña y dejan la misma contraseña por defecto en todas las cámaras. Sólo pocas cámaras tienen una manera de desactivar el GUI, así que la vulnerabilidad de seguridad es que alguien puede intentar acceder a la cámara vía la GUI en línea para adivinar la contraseña. El ‘hacker’ necesita acceso a la red para hacer esto, pero las cámaras se encuentran usualmente en una red compartida, no en una red separada físicamente o una VLAN (red de área local virtual).

La práctica ideal es asignar una contraseña única, larga y no obvia para cada cámara. Un proceso meticuloso como tal toma más tiempo en preparar, es más complicado de administrar y muy difícil de seguir. Es por ello que, lamentablemente, muchos instaladores usan una sola contraseña para todas las cámaras en una cuenta.

Para permitir este desafío, una mejor práctica aceptable es:

•    Red pública: contraseña fuerte diferente para cada cámara.

•    VLAN o red física privada: la misma contraseña fuerte para todas las cámaras.

VULNERABILIDAD AL ACCEDER VÍA REMOTA

La mayoría de las compañías o gobiernos ahora demandan y esperan acceso remoto a videos. Esta función es normalmente entregada al exponer el DVR, NVR o servidor a Internet de alguna manera. La exposición típica a Internet de un servidor HTTP es extremadamente peligrosa debido a que existe un gran número de posibilidades maliciosas que pueden ser usadas para obtener acceso. Las máquinas abiertas a Internet son usualmente escaneadas más de 10 mil veces al día.

No conecte su servidor desprotegido a Internet. Si expone su sistema a Internet, entonces “redireccione el puerto” a la menor cantidad de puertos posible y utilice un firewall de nueva generación que analice el protocolo y bloquee protocolos incorrectos enviados al puerto equivocado. En una situación ideal, despliegue además un IDS/IPS para mayor protección.

VULNERABILIDADES POR LA TOPOLOGÍA DE RED

Si su sistema de cámaras de seguridad está conectado a su red principal, está creando una puerta para que los hackers pueden ingresar a su red principal a través de su sistema de vigilancia, o entrar a su sistema de seguridad física a través de su red principal. Mezclar cámaras en una red estándar sin separación es una receta para el desastre.

Idealmente, ubique su sistema de cámaras de seguridad en una red separada físicamente del resto de su red. Si está integrado con un ambiente informático, no siempre es posible separar los dos sistemas físicamente, entonces debe utilizar una VLAN.

VULNERABILIDAD POR EL SISTEMA OPERATIVO

Su VMS, DVR, NVR o sistema de grabación tendrá un sistema operativo, también las cámaras tienen un sistema operativo. Ahora, todos los sistemas operativos tienen vulnerabilidades, tanto los basados en Windows como los basados en Linux.

Las vulnerabilidades de Windows están tan bien aceptadas que los equipos de TI las monitorizan regularmente. Recientemente, se ha vuelto más y más aparente que Linux tiene también muchas vulnerabilidades, como Shellshock (2014) y Ghost (2015), lo cual ha hecho vulnerables a millones de sistemas.

En teoría, su fabricante de sistema tendrá un equipo de seguridad de alta gama que esté disponible para ofrecerle actualizaciones de seguridad. La realidad es que muchos proveedores no hacen esto de una manera predecible.

Si es un sistema basado en Windows, existen muchas vulnerabilidades y muchas actualizaciones a ser aplicadas. Aunque son menos frecuentes, las vulnerabilidades de Linux deben también ser rastreadas y atendidas rápidamente. También puede contactar con su proveedor de DVR/NVR para averiguar qué sistema operativo usa su NVR/DVR (Linux, Windows) y también qué versiones de sistema y módulos adicionales están implementados (por ejemplo, el servidor de páginas web Microsoft ISS) para que pueda entender qué vulnerabilidades de seguridad van a impactarle.

Además, asegúrese de que su proveedor de cámara ofrezca parches para problemas de seguridad y que esté actualizando el firmware de su cámara en cuanto las nuevas versiones estén disponibles.

VULNERABILIDAD POR CONEXIONES SIN CIFRADO SSL O EQUIVALENTE

Un número sorprendente de DVR/NVR/VMS’s usan conexiones que no están cifradas con SSL o equivalentes. Este riesgo es idéntico al de iniciar sesión en un banco o realizar compras en líneas sin HTTPS. Crea una vulnerabilidad de contraseña y abre la posibilidad a brechas de privacidad y espionaje.

Es imprescindible que su conexión sea cifrada con SSL o equivalente. Pregunte a su proveedor cómo manejar esto y sólo elija proveedores que cifren sus conexiones.

Si el sistema está gestionado en la Nube, confirme con su proveedor cómo su sistema maneja esto, la gran mayoría lo maneja, pero no hay que darlo por hecho.

VULNERABILIDAD POR VIDEO NO CIFRADO

El cifrado es el proceso de cambiar datos para que no se puedan leer (encriptación), de manera que al volver a cambiarlos a su forma original, se puedan volver a leer (descifrado). Incluso la forma más sencilla de cifrado utiliza un único set de caracteres (números, letras y/o símbolos) como clave de cifrado para hacer ambas operaciones.

Además de conexiones inseguras debido a una falta de cifrado, los mismos riesgos de privacidad se aplican cuando el video no es cifrado al ser guardado en un disco o en tránsito si se almacena en la Nube.

ACCESO FÍSICO AL EQUIPO Y ALMACENAMIENTO

Las recompensas económicas por robar datos de empresa son lo suficientemente altas como para que los intrusos busquen también acceder a su red mediante un ataque directo a su equipo físico en sus instalaciones. Por eso mantenga seguro sus gabinetes, cables y la habitación donde guarda los DVR/NVR/VMS, interruptores y servidores de almacenamiento de video. Proporcione un control de acceso seguro a la habitación, incluyendo videos de seguridad para monitorizarlo. Esta práctica no sólo protege su red, sino que también previene robos violentos en sus instalaciones, aquellos donde el DVR/NVR de grabación es robado junto a otros artículos.

Aunque los mismos principios claramente se aplican a un sistema basado en la Nube, existen menos equipos en las instalaciones que proteger. La grabación inmediata en la Nube también protege ante ataques violentos al equipo de grabación en sitio.

Es importante preguntar a su integrador o proveedor por medidas de seguridad generales que toman para sus servidores en la Nube.

CONCLUSIÓN

No existe seguridad física sólida, si no se tiene la seguridad informática como pilar, sin embargo, la gran mayoría de los ataques se gestan por descuido, por circunstancias prevenibles, muchos de éstos a través de accesos por inicio de sesiones a través de contraseñas vulnerables.

La mayoría de los ataques cibernéticos funcionan obteniendo acceso mediante credenciales de inicio de sesión del usuario y después utilizando las vulnerabilidades de dispositivos y sistemas para obtener un alto nivel de acceso que permita a los atacantes un control completo.