Un grupo de hackers dice haber obtenido una valiosa cantidad de datos de cámaras de seguridad recopilados por la startup de Silicon Valley Verkada Inc., logrando acceder a las transmisiones en vivo de 150.000 cámaras de vigilancia dentro de hospitales, compañías, departamentos de policía, prisiones y escuelas.
Entre las compañías cuyas imágenes fueron expuestas están incluidos el fabricante de automóviles Tesla Inc. y el proveedor de software Cloudflare Inc. Además, los hackers pudieron ver videos desde el interior de clínicas de salud para mujeres, hospitales psiquiátricos y las oficinas de Verkada. Algunas de las cámaras, incluso en hospitales, utilizan tecnología de reconocimiento facial para identificar y categorizar a las personas capturadas en las imágenes. Los hackers aseguran también tener acceso al archivo completo de video de todos los clientes de Verkada.
En un video visto por Bloomberg, una cámara de Verkada dentro del hospital Halifax Health de Florida mostró lo que parecían ser ocho empleados del hospital abordando a un hombre e inmovilizándolo contra una cama. Halifax Health aparece en el sitio web público de Verkada en un estudio de caso titulado: “Cómo un proveedor de atención médica de Florida actualizó e implementó de forma fácil un sistema de seguridad compatible con HIPAA”.
La filtración de datos fue llevada a cabo por un colectivo internacional de hackers y tenía la intención de mostrar la omnipresencia de la videovigilancia y la facilidad con la que se puede ingresar a estos sistemas, dijo Tillie Kottmann, una de las hackers que se atribuyó el mérito de haber vulnerado el sistema de Verkada, con sede en San Mateo, California.
Kottmann, que usa pronombres no binarios, anteriormente se había atribuido el crédito de acceder al fabricante de chips Intel Corp. y fabricante de automóviles Nissan Motor Co. Argumentó que sus razones para piratear son “mucha curiosidad, luchar por la libertad de información y contra la propiedad intelectual, una gran dosis de anticapitalismo, una pizca de anarquismo, y también porque es demasiado divertido para no hacerlo”.
Una instalación de Tesla vista a través de una cámara Verkada. Tillie Kottmann
“Desactivamos todas las cuentas del administrador interno para evitar cualquier acceso no autorizado”, dijo un representante de Verkada en un comunicado. “Nuestro equipo de seguridad interno y la firma de seguridad externa están investigando la escala y el alcance de este potencial problema”.
Una persona con conocimiento en el asunto dijo que el director de seguridad de la información de Verkada, un equipo interno y una empresa de seguridad externa se encuentran investigando el incidente. La compañía está trabajando para notificar a los clientes y establecer una línea de soporte para responder preguntas, dijo la persona, que solicitó el anonimato por tratarse de una investigación en curso.
Representantes de Tesla, Cloudflare y otras empresas identificadas en esta historia no respondieron de inmediato a las solicitudes de comentarios. Representantes de las cárceles, hospitales y escuelas mencionados en este artículo se negaron a comentar o no respondieron de inmediato a las solicitudes de comentarios.
En un video al que tuvo acceso Bloomberg muestra a oficiales en una estación de policía en Stoughton, Massachusetts, interrogando a un hombre esposado. Los hackers aseguran haber obtenido también acceso a las cámaras de seguridad de la escuela primaria Sandy Hook en Newtown, Connecticut, donde en 2012, un hombre armado mató a más de 20 personas.
Las 330 cámaras de seguridad dentro de la cárcel del condado de Madison en Huntsville, Alabama también estuvieron disponibles para los Hackers. Verkada ofrece una función llamada “Análisis de personas”, que permite a un cliente “buscar y filtrar imágenes en función de muchos atributos diferentes, incluidos los rasgos de género, el color de la ropa e incluso el rostro de una persona”, según una publicación del blog de Verkada. Las imágenes vistas por Bloomberg muestran que las cámaras dentro de la cárcel, algunas de las cuales están ocultas dentro de conductos de ventilación, termostatos y desfibriladores, rastrean a los reclusos y al personal penitenciario utilizando la tecnología de reconocimiento facial. Los hackers indicaron que pudieron acceder a transmisiones en vivo y videos archivados, en algunos casos incluso al audio de entrevistas entre oficiales de policía y sospechosos de delitos, todo en resolución de alta definición conocida como 4K.
Cárcel del condado de Madison vista a través de una cámara Verkada. Tillie Kottmann
Kottmann dijo que su grupo obtuvo acceso de “administrador” a las cámaras, lo que significa que podían usar las cámaras para ejecutar su propio código. Ese acceso podría, en algunos casos, permitirles entrar a la red corporativa de los clientes de Verkada, o bien, secuestrar las cámaras y usarlas como plataforma para lanzar futuros ataques.
Obtener este grado de acceso a la cámara no requirió un procedimiento adicional, ya que se trataba de una función incorporada, dijo Kottmann.
Los métodos de los hackers no fueron sofisticados: obtuvieron acceso a Verkada a través de una cuenta de “super administrador”, lo que les permitió mirar las cámaras de todos sus clientes. Kottmann señaló que el nombre del usuario y contraseña para una cuenta de administrador los encontraron expuestos públicamente en internet. Después de que Bloomberg se puso en contacto con Verkada, los hackers perdieron el acceso a las fuentes de video y los archivos, dijo Kottmann.
Verkada, fundada en 2016, vende cámaras de seguridad a las que los clientes pueden acceder y administrar a través de internet. En enero de 2020, recaudó US$80 millones en fondos de capital de riesgo, valorando a la compañía en US$1.600 millones. Entre los inversionistas se encontraba Sequoia Capital, una de las firmas más antiguas de Silicon Valley.
Kottmann dijo que durante la operación lograron descargar la lista completa de miles de clientes de Verkada, así como el balance general de la empresa, que enumera los activos y pasivos. Como empresa de capital cerrado, Verkada no publica sus estados financieros. Kottman dijo que los hackers incluso observaron a través de la cámara de un empleado de Verkada que había instalado una de las cámaras dentro de su casa. Uno de los clips guardados muestra al empleado completando un rompecabezas con su familia.
“Si usted tiene una compañía que ha comprado esta red de cámaras y las está colocando en lugares sensibles, es posible que no tenga la expectativa de que, además de ser vigilado por su equipo de seguridad, haya algún administrador en la empresa de cámaras que también esté observando“, dijo Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation (EFF, por sus siglas en inglés), a quien Bloomberg informó sobre la infiltración.
Las cámaras de seguridad y la tecnología de reconocimiento facial se utilizan a menudo dentro de oficinas corporativas y fábricas para proteger la información patentada y protegerse contra una amenaza interna, dijo Galperin de la EFF.
“Hay muchas razones legítimas para tener vigilancia dentro de una compañía, agregó Galperin. “La parte más importante es tener el consentimiento informado de sus empleados. Por lo general, esto se hace dentro del manual del empleado, que casi nadie lee”.