En una reciente investigación se revela que más de 80,000 cámaras de vigilancia Hikvision en todo el mundo continúan siendo vulnerables a una falla de inyección de comando que fue identificada hace 11 meses. Hikvision, fabricante estatal chino de equipos de videovigilancia, enfrenta un problema crítico, ya que la vulnerabilidad CVE-2021-36260, calificada como «crítica» por el NIST con una puntuación de 9.8 sobre 10, sigue sin ser parcheada en miles de sus dispositivos.
A pesar de la gravedad de la vulnerabilidad y la clasificación de Hikvision como un «riesgo inaceptable para la seguridad nacional de EE. UU.» en 2019, más de 80,000 dispositivos afectados permanecen sin parches, según la investigación. Este fallo ha llevado a la venta de credenciales filtradas en foros rusos de la web oscura, donde se ha observado la colaboración de hackers para explotar las cámaras.
Aunque el alcance exacto de los daños aún no está claro, los investigadores señalan la posibilidad de que grupos de amenazas chinas y rusas puedan aprovechar estas vulnerabilidades para sus propios fines, incluidas consideraciones políticas y geolocalización específica.
El informe destaca la persistente vulnerabilidad de las cámaras Hikvision, señalando que la falta de seguridad en su ciclo de desarrollo y el uso de credenciales predeterminadas han contribuido a la exposición continua. David Maynor, director senior de inteligencia de amenazas de Cybrary, advierte sobre la falta de medidas de seguridad y la ausencia de cambios notables en la postura de Hikvision.
La situación refleja un problema endémico en la industria de dispositivos IoT, donde las actualizaciones no son automáticas y los usuarios a menudo no son conscientes de la necesidad de parches. Paul Bischoff, defensor de la privacidad de Comparitech, destaca la complejidad de proteger dispositivos IoT como cámaras, subrayando la falta de indicaciones de seguridad y actualización para los usuarios.
Con la combinación de credenciales predeterminadas y actualizaciones manuales, la seguridad de estas cámaras queda comprometida. El informe sugiere que la inseguridad persistente puede agravarse por la falta de conciencia de los usuarios y la facilidad con la que los ciberdelincuentes pueden identificar dispositivos vulnerables. En resumen, la protección de decenas de miles de cámaras sigue siendo incierta, destacando la necesidad urgente de medidas de seguridad y concientización en la industria de dispositivos IoT.