Historias reales: mi empresa se había convertido en un Gran Hermano
Nuestra historia se centra en dos amigos Adrián y su socio José Manuel, quienes a base de ilusión y esfuerzo habían creado una start-up de impresión 3D. Debido a la gran calidad que ofrecían en sus productos y servicios, el pequeño local que habían alquilado para comenzar sus trabajos, se les quedó pequeño. Tras buscar durante varias semanas, encontraron un nuevo espacio idóneo para su actividad. Contaba con oficinas y amplias zonas donde desarrollar sus productos y almacenarlos.
Pasados unos meses y motivados por el continuo crecimiento, decidieron contratar a varios empleados, dado que solo ellos dos, ya no eran capaces de satisfacer la demanda que tenían. A raíz de contratar a personal externo, José Manuel y Adrián decidieron instalar cámaras de seguridad que sirvieran como medida disuasoria ante posibles hurtos tanto de materiales, como de maquinaria o simplemente de información. La instalación la realizaron ellos mismos, ya que creían contar con los conocimientos suficientes para hacerlo.
En primer lugar, consultaron con la AEPD sobre el reglamento aplicable a este tipo de dispositivos y siguieron sus indicaciones al pie de la letra. Una vez estuvieron seguros que cumplían con todos los requisitos, comenzaron con la instalación de las cámaras. Otro aspecto que tenían claro es que querían que éstas fueran accesibles desde Internet, es decir, poder acceder a las imágenes desde cualquier lugar. Pasada una semana y ya cerca de Navidad el sistema de videovigilancia estaba operativo y funcionando a la perfección.
La empresa había aumentado considerablemente sus ingresos y en agradecimiento hacia sus empleados decidieron regalarles unas cestas de navidad con todos los productos típicos de su zona, incluido el jamón de bellota. Además, entre todos los empleados sortearían un caro ordenador portátil de última generación. Para dar una sorpresa a sus trabajadores, Adrián y José Manuel ocultaron los regalos en un almacén al que solo ellos dos tenían acceso y cuya puerta estaba vigilada por una cámara, hasta el momento de hacer la entrega. Al día siguiente, cuando llegó el momento de la sorpresa, los dueños de la empresa accedieron al almacén, pero para su sorpresa las cestas y otras cosas ya no estaban allí, habían sido víctimas de un robo.
Sin tiempo que perder se pusieron a revisar las grabaciones de las cámaras de seguridad del almacén. En ellas, pudieron constatar que dos individuos entraron y se llevaban todas las cestas y el ordenador con una rapidez inusual. Parecían saber dónde estaban las cámaras, ya que en ningún momento se les vio la cara. Solamente quedaba una opción, interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado.
Las navidades llegaban a su fin y ya habían perdido toda esperanza de recuperar las cestas robadas. Sin embargo, una mañana José Manuel recibió la llamada de un amigo que le contó algo inesperado. A raíz de la llamada, ambos socios se reunieron y José Manuel le comentó a Adrián que todo lo grabado por sus cámaras había sido retransmitido en directo por Internet.
Además habían sido enlazadas desde varias páginas web que se dedicaban a buscar cámaras accesibles públicamente o con credenciales de acceso débiles. Los dos socios rápidamente pensaron en el robo que habían sufrido y llegaron a la conclusión que los ladrones, seguramente, habían accedido a sus cámaras y por esa razón sabían dónde estaban y cómo ocultarse de ellas.
¿Qué fue lo que pasó realmente?
Adrián y José Manuel habían seguido todas las recomendaciones que indicaba el RGPD en materia de protección de datos, pero habían cometido un grave error: dejaron las credenciales por defecto con las que contaban estos dispositivos para su acceso a través de Internet. Estas credenciales no son seguras, ya que en cualquier manual de usuario figurarán.
Las páginas que se dedican a buscar cámaras abiertas o con credenciales débiles detectaron las de esta empresa y las añadieron a sus repositorios para que cualquiera pudiera acceder a ellas y a su contenido. Además algunos de estos sitios aportan información adicional como país, ciudad, marca del dispositivo, dirección IP, etc.
Con esto a su favor, los ladrones localizaron la ubicación exacta de las cámaras que retransmitían en tiempo real y pudieron acceder sin ser identificados cuando no había nadie en las instalaciones que les pudiera interceptar.
El robo fue lo menos grave que les pudo pasar a los dos socios, ya que podrían haber llegado a robar información confidencial e industrial, con lo que la pérdida habría sido mucho mayor. Además, el hecho de no implementar todas las medidas de seguridad necesarias para evitar que las imágenes sean accesibles por cualquiera desde Internet puede suponer sanciones de acuerdo al RGPD.
¿Qué podemos hacer para que no nos suceda?
En primer lugar, debemos modificar las credenciales de acceso a la herramienta web por defecto que permite la visualización en tiempo real de las cámaras. Las credenciales que se usen deben ser robustas, ya que de esta forma evitaremos en gran medida los accesos no autorizados y que los sitios web de cámaras de vigilancia inseguras las añadan a sus repositorios.
Otro aspecto a tener en cuenta es mantener el software actualizado. Siempre es recomendable adquirir dispositivos que cuenten con un buen soporte y mantenimiento. De esta forma, los dispositivos contarán con parches de seguridad y con las últimas funcionalidades que se implementen. Un dispositivo sin soporte puede llegar a ser un riesgo, ya que en caso de descubrirse una vulnerabilidad quizá nunca se solucione.
El formulario de acceso al panel de control de las cámaras y la visualización de las imágenes debe contar con su propio certificado de seguridad. De esta forma, la información viajará cifrada evitando que ningún ciberdelincuente pueda robar las credenciales de acceso o espiar el contenido de las imágenes.
Otra forma de conseguir un acceso seguro a las cámaras de vigilancia y a cualquier sistema interno de la empresa es por medio de una red privada virtual o VPN. Esta tecnología permite acceder a los sistemas o información de la empresa de forma segura, independientemente de la red usada.
Información confidencial, reuniones, datos sensibles o protegidos, sin olvidarnos de las posibles implicaciones legales que lleva no contar con un óptimo mantenimiento de las cámaras privadas, es algo que no debe tomarse a la ligera. Que no te suceda como a nuestros protagonistas, comprueba la seguridad de tus cámaras.