Check Point Research ha analizado la popular Ubiquiti G4 Instant Camera, una cámara compacta, gran angular, conectada a WiFi y con audio bidireccional, junto con el dispositivo Cloud Key+ que la acompaña y que es compatible con la aplicación.

En 2019, Jim Troutman tuiteó sobre ataques de denegación de servicio (DoS) que se llevaron a cabo en dispositivos Ubiquiti explotando un servicio en 10001/UDP. En respuesta, Rapid7 realizó su propia evaluación e informó que casi 500.000 dispositivos eran vulnerables y, en 2024, más de 20.000 siguen en la misma situación. Esta situación pone de manifiesto la dificultad de mitigar por completo las vulnerabilidades, especialmente en los dispositivos IoT. Por ejemplo, los nombres de host descifrados revelaron información detallada sobre estos aparatos, incluidos los nombres de los propietarios y sus ubicaciones, que podrían aprovecharse para ciberataques.

Evaluación de la superficie de ataque

Check Point Research ha descubierto que, además del protocolo SSH y un servidor web, dos procesos personalizados estaban expuestos en la interfaz de red de la cámara usando el protocolo UDP en los puertos 10001 y 7004. Esto es preocupante porque vulnerabilidades en estos servicios podrían comprometer el dispositivo. Utilizando tcpdump en el puerto 10001, los investigadores han encontrado el protocolo de descubrimiento de Ubiquiti. El dispositivo CloudKey+ enviaba regularmente paquetes «ping» a dispositivos y la cámara respondía con mensajes «pong» que incluían detalles como el nombre de la plataforma, la versión del software y las direcciones IP.

Réplica en Internet

Check Point Research ha comprobado si este comportamiento podía reproducirse a través de Internet. Aunque los dispositivos no respondieron a las sondas de Internet debido a nuestra configuración de red y NATing, hemos identificado más de 20.000 aparatos Ubiquiti en Internet utilizando un decodificador personalizado.

“Este caso sirve como recordatorio de que los errores simples pueden persistir durante años y la industria de la ciberseguridad debe permanecer alerta mientras los atacantes continúan buscando formas de explotar nuestra creciente dependencia de la tecnología en nuestra vida cotidiana”, expone Eusebio Nieva, director técnico para Check Point España y Portugal. “Corregir los errores y los problemas de seguridad de los dispositivos IoT después de su venta es sumamente difícil. A diferencia de los servicios en la nube, en los que un único parche puede proteger instantáneamente a todos los usuarios, las actualizaciones de los IoT a menudo tardan años en llegar a todas las unidades desplegadas”, añade.

Cómo protegerse y evitar infecciones

1. Asegurarse de que la cámara está utilizando la última versión del firmware e instalar un parche si está disponible.
2. Parchear la cámara, router y otros dispositivos IoT debe convertirse en parte de la rutina de ciberhigiene.
3. Cada vez más proveedores activan las actualizaciones automáticas por defecto. Asegurarse de que esta función de actualización automática está activada y se debe preguntar al vendedor/proveedor antes de comprar un dispositivo IoT si ofrece actualizaciones automáticas.
4. Evitar exponer estos aparatos, como cámaras, directamente a Internet. Si se hace, asegurarse de que no revelar más información de la necesaria (como nombres, direcciones y otra información de identificación personal).