Miles de cámaras conectadas a Internet transmiten en vivo sin que sus deuños lo sepan

On Feb 21, 2012

MARIANO BLEJMAN| Un hacker descubrió que miles de cámaras de seguridad hogareñas de la marca Trendnet podían ser observadas por Internet sin necesidad de tener una clave. Son unas cincuenta mil en todo el mundo, incluso en Argentinala rfealidad: miles de cámaras de video conectadas a Internet transmiten en vivo sin que sus dueños lo sepan, espiando la vida doméstica de los otros.Un joven atiende un comercio en Rafaela, Santa Fe. Se toma su tiempo para ordenar la caja de un artefacto electrónico. La puerta del local está abierta, entra y sale gente todo el tiempo. Del otro lado del vidrio pasan autos que hacen una sombra intermitente.
***

¿Nunca tuvo la sensación de que lo estaban mirando? Bueno, puede que sí, que lo estén mirando si tiene una de las cincuenta mil cámaras repartidas por el mundo que, por un error técnico, permiten ver qué hacen personas comunes y corrientes de manera pública. No se trata de una nueva versión de Sliver, invasión a la intimidad, aquella película que protagonizaba Sharon Stone y William Baldwin a comienzos de los ’90, en la que el personaje central cableaba el edificio con cámaras de video y grababa lo que hacían sus vecinos. Ni es tampoco una pieza literaria inspirada en 1984, de George Orwell, que ejercía un efecto normalizador en una sociedad de control. Se trata de cámaras de seguridad hogareñas, de esas que se compran para instalar en un maxikiosco, en la entrada de una casa o en su sistema de alarma interior, en el palier de un edificio, en el hall de una institución académica o incluso para cuidar a los bebés desde la distancia mientras duermen plácidamente en la pieza de al lado. A diferencia de los sistemas cerrados antiguos, estas cámaras están conectadas a Internet y, por lo tanto, tienen una “dirección” y se pueden “visitar”.

Era obvio que en algún momento esto iba a pasar: que la interconexión de la vida cotidiana iba a terminar en un descalabro de los derechos a la intimidad más básicos, y que cualquiera puede quedar encerrado en un esquema que puede ser de espionaje: basta con comprarse una de las cincuenta mil camaritas Trendnet que en estos momentos podrían estar transmitiendo las imágenes hacia el mundo sin que sus dueños lo sepan. Página/12 pudo saber que varias de las cámaras “libres” están funcionando en territorio argentino. Entre ellas se pueden ver oficinas de bomberos, salas de espera, lavanderías, negocios de electrónica, almacenes, patios, sótanos, puertas, ventanas, patios, escaleras, entradas, salidas y más patios. Son cámaras fijas, sin sonido, representando la vida real.

El 10 de enero de 2012, en el blog de Console Cowboys se publicó un artículo que mostraba que miles de cámaras Trendnet conectadas a Internet (que se venden en Mercado Libre por 150 dólares) tenían un problema de seguridad que permitía a cualquier usuario mirar esas cámaras en tiempo real, sin necesidad de usar una clave por la web. Rápidamente, las direcciones que tenían esas cámaras se hicieron públicas en los foros más populares de la cultura hacker y el asunto llegó al sitio The Verge. Así, finalmente, la información fue publicada en el servicio de noticias de la BBC londinense. Pero mientras lo hacía conocer en su blog, el hacker le había avisado al fabricante y había subido una serie de imágenes recogidas públicamente desde la web para alertar sobre el problema. La empresa tardó en reaccionar, trabajó en la corrección del “error” del código que había sido desarrollado en 2010: estas miles de cámaras transmiten públicamente desde hace casi dos años y ¿nadie? lo sabía.

El hallazgo abre una vez más el debate sobre la invasión a la privacidad de las tecnologías de conexión, en un contexto en el que compartirlo todo va de lleno con la cultura Facebook. “Este error permite recolectar información en grandes volúmenes. Sin embargo, no sirve demasiado para fines específicos. La posibilidad de utilizar esta información para motivos concretos es bastante discutible cuando se trata de lugares públicos que son en su mayoría los casos encontrados. Donde sí puede ser peligroso es en aquellas cámaras que filman el interior de las casas y muestran personas viendo la televisión o cocinando”, cuenta Felipe Lerena, hacker y activista del software libre, quien asesoró a Página/12 para este artículo.
***

Un anciano mira televisión en Birmingham. En Hong Kong, un hombre le da de comer a su hijo mientras también mira la televisión. En una bella casa de Connecticut un niño duerme en su cuna y es visto desde el aire por una especie de ojo de águila. Desde una puerta de un edificio en Barcelona, se observa una noche fría. En Arequipa, un joven se sienta a escuchar una clase, pero no queda muy claro qué está aprendiendo (pareciera ser un curso de manejo). Un hombre observa la pantalla de su computadora en Cranford. A decir verdad, los enfoques de las cámaras abiertas al público que en estos momentos transmiten por Internet son bastante poco cinematográficos. Parecen más bien cuentos de Raymond Carver.
***

Durante la primera semana de febrero, la empresa Trendnet envió un correo alertando sobre la falla a aquellos usuarios que habían registrado sus cámaras. Pero la cantidad de registrados no supera el cinco por ciento de los productos en el mercado. Según le dijo Zak Wood, director global de marketing de la empresa a BBC se habían encontrado 26 modelos vulnerables, y en siete de ellos ya se había realizado el testeo y se publicó una actualización del firmware, que es el software que viene de fábrica en el artefacto. “Pareciera haber sido un problema de la supervisión del código”, dijo Wood ascético. Es decir, un error humano de implicancia planetaria. El descubrimiento que hizo el autor que “desnuda” esta situación encontró que siguiendo una serie de pasos específicos se podía acceder a la transmisión en vivo. Luego bastaba conocer qué aparatos estaban conectados a Internet con esa cámara asociada y escribir el número IP (Internet Protocol) junto a una secuencia de 15 caracteres. Para hacer la búsqueda de cámaras Trendnet se usó el buscador Shodan, que se especializa en encontrar artefactos: así como Google busca información, éste lo hace con aparatos conectados. De allí a localizarlos en un mapa de Google hay un paso que cualquier programador con mínimos conocimientos puede realizar en unos minutos.

El creador del blogspot Consoles Cowboy, que suele encontrar éste y otro tipo de agujeros en cualquier artefacto o sistema disponible, contó que se compró una cámara Trendnet deseoso de participar de ese mundo en el que cualquier persona puede transmitir su vida filmada desde su web. El autor eligió el modelo TVIP110w, actualizó el firmware (como se dijo antes, el software que viene incorporado en la máquina) y luego de analizar el sistema comprendió que podía poner un enlace en un navegador para ver su cámara en tiempo real sin clave, sin usuario, transmitiendo en vivo para todos. Primero pensó que era un problema suyo: pero el resto de las configuraciones de seguridad estaban correctas. Entonces, el autor decidió probar si podía encontrar otra cámara conectada a Internet de la misma marca a través del sitio Shodan, una plataforma para buscar aparatos. Encontró rápidamente unos 9500 resultados (ver recuadro “Cómo se hizo el descubrimiento”). Y empezó el show.
***

En Bucaramanga, Colombia, un grupo de técnicos repara computadoras como si fuera una operación a corazón abierto. En el gimnasio de Granite Falls en Estados Unidos, a unos kilómetros de Minneapolis, hay un solo deportista usando la bicicleta: el resto de los aparatos está vacío. Una mujer adulta de Swiff Current, Canadá, en camisola, prepara el desayuno, un hombre de la misma edad pasa por detrás con un café en la mano. Una escena familiar, de ésas que abundan en cada casa del planeta. Y, en general, el plano fijo en picada dista de generar tensión dramática.
***

No deja de ser simpático que el slogan publicitario de la empresa sea “redes en las que la gente confía” (networks people trust, en inglés). La solución inicial que ofreció Trendnet fue actualizar el programa que viene incorporado a la cámara y subirlo a su web el 7 de febrero: pero el asunto era cómo contárselo a miles de usuarios esparcidos por el mundo y avisarles también a los distribuidores, los vendedores y hacerlo sin que se note demasiado. Pero ese mismo día, la BBC publicó un artículo alertando a los usuarios londinenses –al fin y al cabo la ciudad más filmada del planeta– sobre el agujero de seguridad. Lo que da a entender Trendnet en el primer comunicado es que ellos no sabían del error y que se enteraron “por Internet” de lo que estaba ocurriendo. “Inmediatamente tomamos acciones para cuantificar el problema, iniciar acciones correctivas y publicamos una actualización que resuelve el error.” La empresa confirmó que se trataba de cámaras compradas entre abril de 2010 y febrero de 2012. La gran mayoría de estos modelos se venden en Argentina.

Efectos de la sobreconexión

La empresa Cisco piensa que en el año 2020 habrá cerca de cincuenta mil millones de artefactos conectados entre sí. Los artefactos de la vida cotidiana van a vivir conversando y las cámaras de video son apenas un primer paso. Los objetos tomarán decisiones sobre las personas, quienes confiarán ciegamente en la automatización de algunos procesos. La privacidad será un tema menor. Realmente menor. Así, podría decirse que sin quererlo, el efecto Trendnet es el mayor esfuerzo de antropología mundial que pueda encontrarse en la historia de la humanidad. Miles de personas que sin saberlo son observadas por unos cientos, y ya ni siquiera hará falta ser hacker para hacerlo: una vez que la información se dispersa es imposible detenerla. Google resuelve las dudas, y luego ¡showtime! Vamos a convivir con la mirada remota.

En el programa Gran Hermano, que sale por Telefe, los participantes firman un contrato para ser filmados incesantemente: entregan la imagen de su cuerpo al mundo. A cambio, el espectáculo les asegura fama pasajera, algún contrato para conducir un programa, convertirse en modelo y terminar en el olvido. ¿Pero qué contrato firmaron los usuarios de Trendnet para dejarse ver? ¿Y las cientos de miles de cámaras repartidas por el mundo que están en los teléfonos celulares, en las computadoras, en los ascensores, en las entradas de los edificios? ¿Quién asegura que funcionen bien? Nadie, no se trata de eso. Mire el lector a su entorno y piense con cuántas cámaras convive diariamente y todas conectadas. Cuántos artefactos que de a poco se van sumando: la televisión, el auto, la heladera. Haga un paneo por su escritorio. Por algo las últimas netbooks vienen con protectores físicos para la mirilla de la webcam. ¿No se preguntó por qué? ¿O acaso confía en la luz roja o azul o verde que se prende al lado del lente? “¡Y a mí qué me importa!”, dirá. Es cierto, en Facebook se puede saber mucho más, pero Mark Zuckerberg todavía no ofrece transmisión pública (no den ideas).

Facebook ganó. La experiencia de la interconexión ofrece posibilidades ilimitadas. Hace un tiempo pasó por Buenos Aires Josh Harris, considerado el “Andy Warhol de la web” por haber sido el primero en proponer el fin de la privacidad y llevarlo a la práctica en Nueva York a fines de los ’90. Según muestra el documental We Live in Public (Vivimos en público) que rescata su historia, un centenar de personas se encerraron en un sótano de Nueva York a filmarse día y noche sin parar, comiendo, bailando, haciendo el amor. La cosa terminó en desmadre, los organizadores y participantes fueron detenidos. Pero Harris no se amilanó, se fue a vivir con su novia y puso cámaras por toda su casa hasta que se terminó separando en vivo y en directo. Harris es el hombre olvidado más famoso de la prehistoria de Internet. Era Facebook antes de Facebook, MySpace antes de MySpace, era el affaire Trendnet, pero sabiendo lo que hacía.

Aquí no se trata de echarle el fardo a Trendnet por el espantoso agujero de seguridad que expuso a miles de usuarios, sino de pensar en el efecto regulador que puede ejercer la presencia muda de las cámaras en la vida cotidiana de las personas. No es la primera vez que se conocen direcciones de cámaras privadas que transmiten por Internet. En julio de 2009 ya se demostró en el Defcon en Las Vegas, uno de los más importantes congresos de seguridad, que las cámaras conectadas a Internet podían ser hackeadas y su contenido podía ser reemplazado de manera remota: claro, la demostración la hizo una empresa llamada Viper Lab, que vende software de seguridad. La privacidad es un bien menor, pero sigue siendo un buen negocio.

*Periodista de Página 12, Argentina