Tecnología

Hackearon 150,000 cámaras de seguridad, entre ellas de la empresa Tesla

Una representante del colectivo que se adjudicó esta vulneración dijo que lo hicieron por por “la libertad de información”.

mié 10 marzo 2021 10:30 AM

Hackean cámaras de seguridad de Tesla — Los piratas informáticos tuvieron acceso a un almacén de la compañía en Shanghai, China. (Scharfsinn86/Getty Images/iStockphoto)

Fernando Guarneros Olmos

@Guarolf_

Verkada Inc., una startup de seguridad de Sillicon Valley, sufrió una vulneración por parte de un grupo de hackers, quienes tuvieron acceso a 150,000 cámaras de seguridad dentro de empresas como Tesla o Cloudfare Inc., la cadena de gimnasios Equinox, hospitales, cárceles, estaciones de policía, escuelas e incluso las oficinas de la propia Verkada.

En relación a Tesla, los piratas informáticos mostraron a Bloomberg haber tenido acceso a un almacén de la compañía en Shanghai, China, en donde es posible observar a trabajadores en una línea de ensamblaje. Sin embargo, no fue el único sitio al que tuvieron acceso, pues declararon haber invadido 222 cámaras en los almacenes y fábricas de la empresa.

Tillie Kottmann, una de las hackers del colectivo que llevó a cabo esta violación de datos, dijo al mismo medio de comunicación, que su intención era la de mostrar la omnipresencia de la videovigilancia, así como la facilidad con la cual se puede ingresar a esta clase de sistemas.

Cabe mencionar que este grupo de hackers ya había participado en ataques previos a otras empresas como Intel y Nissan. En todos los casos, las razones principales por las cuales cometió estos hechos fueron “mucha curiosidad, luchar por la libertad de información y contra la propiedad intelectual, una gran dosis de anticapitalismo, una pizca de anarquismo y también es demasiado divertido”, precisó el grupo.

Ante este hecho, un vocero de Verkada dijo que habían “desactivado todas las cuentas del administrador interno para evitar cualquier acceso no autorizado”, además de que su división de seguridad se encontraba investigando el alcance de la vulneración.

Cludfare, por su parte, comentó a BleepingComputer que las cámaras que habían sido vulneradas por los piratas informáticos se encontraban ubicadas en oficinas que se han mantenido cerradas durante varios meses, por lo que la brecha no tenía un impacto real sobre sus clientes.

Entre las grabaciones a las cuales tuvieron acceso destacan las de cámaras de seguridad instaladas en la escuela primaria Sandy Hook, de Connecticut, en donde un hombre armado asesinó a más de 20 personas en el 2012. Asimismo, pudieron entrar a 330 dispositivos de la cárcel del condado de Madison en Huntsville, Alabama.

Al interior de los centros penitenciarios, el colectivo de hackers pudo ver que las cámaras estaban ocultas dentro de conductos de ventilación, además rastreaban a los internos a partir de tecnología de reconocimiento facial.

No obstante, uno de los asuntos de mayor gravedad es cómo tuvieron acceso a estas cámaras de seguridad, pues de acuerdo con Kottmann, el proceso no fue sofisticado y se basó en una cuenta de “superadministrador”, cuyo nombre de usuario y contraseña hallaron expuesta de manera pública en internet.

Este hecho, según la hacker, “expone cuán ampliamente estamos siendo vigilados y qué tan poco cuidado se pone al menos en asegurar las plataformas utilizadas para hacerlo, sin perseguir nada más que ganancias”.

"La realidad es que estos dispositivos aparentemente insignificantes de Internet de las Cosas son ahora puntos de entrada para intrusiones en la red. Es por eso que cada vez más empresas están adoptando una política de confianza cero cuando se trata de proveedores externos y dispositivos de IoT (ambos típicamente puntos ciegos para muchas organizaciones) y, en cambio, confían en tecnología de vanguardia basada en Inteligencia Artificial para identificar y detener los ciberataques dondequiera que surjan, ya sea desde un dispositivo de IoT o una vulnerabilidad de la cadena de suministro", indicó a Expansión, Max Heinemeyer, director de Amanezas de Darktrace.

Verkada fue fundada en el 2016 y su mercado se basa en la venta de cámaras de seguridad a la cual sus clientes pueden acceder y administrar por medio de su plataforma web. De acuerdo con el portal TechCrunch , en enero de 2020, la empresa recaudó 80 millones de dólares en fondos de capital de riesgo, lo cual provocó que la firma se valorara en 1,600 millones de dólares.

Sin embargo, este no es el único asunto polémico en el cual Verkada se ha visto involucrada. En octubre del año pasado, The Verge reportó que la firma había sido acusada de sexismo y discriminación, luego de que uno de sus directores de ventas usara el sistema de reconocimiento facial para acosar a las trabajadoras.

Y es que de acuerdo con el reporte, el empleado accedió a las cámaras con el fin de tomar fotografías de sus compañeras y luego las publicó en un canal de Slack, en donde también compartía bromas sexuales explícitas.

Esta información también fue confirmada por Vice , medio al cual el director ejecutivo de Verkada, Flip Kaliszan, declaró que los tres empleados que iniciaron estas acciones fueron despedidos, porque “se involucraron en un comportamiento atroz dirigido a sus compañeras de trabajo o se negaron a informar la conducta a pesar de sus obligaciones como gerentes”.

Tras el conocimiento de esta brecha en la seguridad de la firma, usuarios en redes sociales comentaron la situación con el hashtag #OperationPanopticon, asociado al concepto del panóptico, un edificio diseñado con el objetivo de mantener vigilados a ciertos grupos sin que ellos tengan la certeza de que están siendo observados.