Un grupo de hackers informó que obtuvieron acceso a los datos de la empresa Verkada, y con ello a 150 mil cámaras de vigilancia dentro de hospitales, empresas, departamentos de policía, prisiones y escuelas de Estados Unidos.
Las empresas cuyas imágenes fueron expuestas incluyen al fabricante de automóviles Tesla Inc. y al proveedor de software Cloudflare Inc.
Además, los piratas informáticos pudieron ver videos desde el interior de clínicas de salud para mujeres, hospitales psiquiátricos y las oficinas de Verkada.
Esto, dijeron a Bloomberg, con el fin de exponer los problemas sobre violaciones de privacidad y las fallas de ciberseguridad de la empresa.
Algunas de las cámaras, incluso en hospitales, utilizan tecnología de reconocimiento facial para identificar y categorizar a las personas capturadas en las imágenes. Los piratas informáticos dicen que también tienen acceso al archivo de video completo de todos los clientes de Verkada.
En un video visto por Bloomberg, una cámara de Verkada dentro del hospital de Florida Halifax Health mostró lo que parecían ser ocho empleados del hospital abordando a un hombre y inmovilizándolo contra una cama.
Otro video, filmado dentro de un almacén de Tesla en Shanghai, muestra a trabajadores en una línea de ensamblaje. Los piratas informáticos dijeron que obtuvieron acceso a 222 cámaras en las fábricas y almacenes de Tesla.
La violación de datos fue llevada a cabo por un colectivo internacional de piratas informáticos y tenía la intención de mostrar la omnipresencia de la videovigilancia y la facilidad con la que se pueden ingresar los sistemas, dijo Tillie Kottmann, quien se atribuyó el mérito de infiltrar los sistemas de Verkada, con sede en San Mateo, California.
Kottmann, que usa un pronombre neutro, se atribuyó anteriormente el crédito por piratear al fabricante de chips Intel Corp. y al fabricante de automóviles Nissan Motor Co. Kottmann dijo que sus razones para hackear son "mucha curiosidad, luchar por la libertad de información y contra la propiedad intelectual, una gran dosis de anticapitalismo, una pizca de anarquismo, y también es demasiado divertido como para no hacerlo".
"Hemos desactivado todas las cuentas de administrador interno para evitar cualquier acceso no autorizado", dijo un representante de Verkada en un comunicado. "Nuestro equipo de seguridad interno y la firma de seguridad externa están investigando la escala y el alcance de este problema potencial".
Una persona con conocimiento del asunto dijo que el director de seguridad de la información de Verkada, un equipo interno y una empresa de seguridad externa están investigando el incidente.
La compañía está trabajando para notificar a los clientes y establecer una línea de soporte para responder preguntas, dijo la persona, que solicitó el anonimato para discutir una investigación en curso.
Los representantes de Tesla, Cloudflare y otras empresas identificadas en esta historia no respondieron de inmediato a las solicitudes de comentarios.
Los representantes de las cárceles, hospitales y escuelas mencionados en este artículo se negaron a comentar o no respondieron de inmediato a las solicitudes de comentarios.
Un video visto por Bloomberg muestra a oficiales en una estación de policía en Stoughton, Massachusetts, interrogando a un hombre esposado.
Los piratas informáticos dicen que también obtuvieron acceso a las cámaras de seguridad de la escuela primaria Sandy Hook en Newtown, Connecticut, donde un hombre armado mató a más de 20 personas en 2012.
También estaban disponibles para los piratas informáticos 330 cámaras de seguridad dentro de la cárcel del condado de Madison en Huntsville, Alabama.
Verkada ofrece una función llamada "Análisis de personas", que permite al cliente "buscar y filtrar en función de muchos atributos diferentes, incluidos los rasgos de género, el color de la ropa e incluso el rostro de una persona", según una publicación de blog de Verkada.
Las imágenes vistas por Bloomberg muestran que las cámaras dentro de la cárcel, algunas de las cuales están ocultas dentro de conductos de ventilación, termostatos y desfibriladores, rastrean a los reclusos y al personal penitenciario utilizando la tecnología de reconocimiento facial.
Los piratas informáticos dicen que pudieron acceder a transmisiones en vivo y videos archivados, en algunos casos incluyendo audio, de entrevistas entre oficiales de policía y sospechosos de delitos, todo en la resolución de alta definición 4K.
Kottmann dijo que su grupo pudo obtener acceso de "raíz" a las cámaras, lo que significa que podían usar las cámaras para ejecutar su propio código. Ese acceso podría, en algunos casos, permitirles girar y obtener acceso a la red corporativa más amplia de los clientes de Verkada, o secuestrar las cámaras y usarlas como plataforma para lanzar futuros ataques. Obtener este grado de acceso a la cámara no requirió ningún hackeo adicional, ya que era una función incorporada, afirmó Kottmann.
Los métodos de los piratas informáticos no eran sofisticados: obtuvieron acceso a Verkada a través de una cuenta de "superadministrador", lo que les permitió mirar las cámaras de todos sus clientes.
Kottmann dice que encontraron un nombre de usuario y una contraseña para una cuenta de administrador expuesta públicamente en Internet.
Después de que Bloomberg se puso en contacto con Verkada, los piratas informáticos perdieron el acceso a las fuentes de video y los archivos, dijo Kottmann.
"(El hackeo) expone cuán ampliamente estamos siendo vigilados y cuán poco cuidado se pone al menos en asegurar las plataformas utilizadas para hacerlo, sin buscar nada más que ganancias", dijo Kottmann.
Verkada, fundada en 2016, vende cámaras de seguridad a las que los clientes pueden acceder y administrar a través de la web. En enero de 2020, recaudó 80 millones de dólares en fondos de capital de riesgo, valorando a la compañía en 1.6 mil millones. Entre los inversores se encontraba Sequoia Capital, una de las firmas más antiguas de Silicon Valley.
Kottmann llama al colectivo de piratería "Advanced Persistent Threat 69420", una referencia a las designaciones que las empresas de ciberseguridad dan a los grupos de piratería informática patrocinados por el estado y a las bandas criminales cibernéticas.
En octubre de 2020, Verkada despidió a tres empleados después de que surgieron informes de que los trabajadores habían usado sus cámaras para tomar fotografías de sus colegas dentro de la oficina de Verkada y hacer bromas sexualmente explícitas sobre ellas.
El director ejecutivo de Verkada, Filip Kaliszan, dijo en una declaración a Vice en ese momento que la compañía "despidió a las tres personas que instigaron este incidente, se involucraron en un comportamiento atroz dirigido a sus compañeros de trabajo o se negaron a informar el comportamiento a pesar de sus obligaciones".
Kottmann dijo que pudieron descargar la lista completa de miles de clientes de Verkada, así como el balance general de la empresa, que enumera los activos y pasivos. Como empresa de capital cerrado, Verkada no publica sus estados financieros. Kottman dijo que los piratas informáticos observaron a través de la cámara de un empleado de Verkada que había instalado una de las cámaras dentro de su casa. Uno de los clips guardados de la cámara muestra al empleado completando un rompecabezas con su familia.
"Si usted es una empresa que ha comprado esta red de cámaras y las está colocando en lugares sensibles, es posible que no tenga la expectativa de que, además de estar vigilado por su equipo de seguridad, haya algún administrador en la empresa de cámaras que también esté observando ", dijo Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation, a quien Bloomberg informó sobre el caso.
Los piratas informáticos también obtuvieron acceso a las cámaras Verkada en las oficinas de Cloudflare en San Francisco, Austin, Londres y Nueva York. Las cámaras de la sede de Cloudflare se basan en el reconocimiento facial, según las imágenes vistas por Bloomberg.
Las cámaras de seguridad y la tecnología de reconocimiento facial se utilizan a menudo dentro de las oficinas corporativas y las fábricas para proteger la información patentada y protegerse contra una amenaza interna, dijo Galperin de la EFF. "Hay muchas razones legítimas para tener vigilancia dentro de una empresa", agregó Galperin. "La parte más importante es tener el consentimiento informado de sus empleados. Por lo general, esto se hace dentro del manual del empleado, que nadie lee ".