Passwords por defecto en un equipo de CCTV: lo que NO hay que hacer

Comentábamos en la entrada anterior que es recomendable modificar siempre la contraseña por defecto que viene con nuestro equipo de CCTV; y con más razón si nuestro equipo puede ser localizado con relativa facilidad, al sacrificar un poco de privacidad (el hecho de estar escondidos en una IP y puerto desconocido) a cambio de comodidad (usar un servicio de DDNS gratuito y cómodo como pueda ser hik-online.com).

Soy del parecer que un equipo de CCTV no debería ser accesible de forma remota si la contraseña del equipo es la que viene por defecto. Este sería un cambio relativamente simple de implementar por los fabricantes, y conseguiría que la contraseña que la gente usara en su grabador fuera más o menos segura; pero por lo menos que fuera distinta a la mayoría.

Para hacer la estadística de grabadores Hikvision conectados a internet, utilizamos un método para localizar equipos (del que no vamos a dar datos concretos) que nos permitía localizar de forma sencilla un gran número de dispositivos registrados en hikvisioneurope.net y hik-online.com. Una vez dispusimos de 400 equipos fuimos conectándonos a ellos de forma manual para ver si era posible el acceso con la cuenta admin por defecto, descartando aquellos equipos que no fueran conectables (algunos podían estar registrados en hik-online pero no activos en ese momento; otros podían tener la conexión a internet mal configurada de modo que no fueran accesibles; en algunos casos incluso nos encontramos que al conectarnos ibamos a dar con el router, y en un caso raro acabamos en lo que parecía un interfaz web de unas placas solares).

En este proceso de filtrado nos encontramos con una serie de equipos que parecían tener mucho en común; todos ellos eran accesibles como admin con password por defecto; usaban el puerto web 80 y el puerto datos 8000; y tenían un nombre de equipo que seguía un patrón en todos ellos. Mirando con un poco más de detenimiento estos equipos, observamos que las similitudes seguían: eran todos equipos de 4 canales, con 3 canales en activo; estaban configurados en la zona horaria GMT+05 (Islamabad, Karachi, Tashkent); mediante geolocalización comprobamos que las IPs de todos estos equipos correspondían a la India; y viendo las cámaras quedaba claro que todas ellas mostraban más o menos lo mismo en sus 3 canales de video.

– Una vista general de lo que podría ser una sucursal bancaria, oficina de cambio, de compra de oro, envío de dinero, etc. Alguna de estas oficinas dispone incluso de vigilante armado.

– Una vista de caja, donde pueden verse rótulos que indican GOLD y CASH, contadores de billetes, báscula, etc.

– Y el último canal corresponde siempre a una habitación cerrada bajo llave, en cuyo interior se encuentra un único armario archivador, también cerrado bajo llave. A esta habitación se accede unas pocas veces al día, y siempre que se accede lo hacen dos personas a la vez.

Parecía claro que todos estos equipos pertenecían a alguna compañía india y que iban a estar todos configurados de igual manera, por lo que los eliminamos de nuestros datos, para no incrementar el porcentaje de equipos accesibles (que ya de por si terminó siendo alto, el 57%).

Pero por curiosidad, y viendo que el nombre de los equipos seguía cierto patrón, nos pusimos a buscar todos los equipos que encontraramos que siguiera el mismo patrón. Y localizamos ni más ni menos que 1612; 941 de los cuales eran conectables en ese momento. El resto puede que fueran equipos mal configurados, de oficinas ya cerradas, o simplemente equipos que apagan por la noche, ya que las pruebas fueron realizadas en horario nocturno de la India.

Estamos por lo tanto ante una empresa de un tamaño importante, que ha dejado su sistema de CCTV en manos inexpertas, y que ha acabado con varios miles de cámaras de videovigilancia en sus oficinas que cualquiera podría ver, claro resultado de una mala instalación realizada por alguien no cualificado.