El mercado de los sistemas de videovigilancia es muy dinámico. Continuamente aparecen nuevas soluciones que facilitan la explotación de los sistemas CCTV, cada vez más potentes, cada vez más atractivas y que prometen facilitar la vida de los responsables de seguridad, potenciando su trabajo. Cada vez las expectativas son más espectaculares, basadas en los últimos avances en inteligencia artificial, tanto a nivel de hardware como de algoritmos basados en nuevas redes neuronales, que prometen identificar a las personas incluso llevando gafas de sol o una mascarilla para protegerse del último virus, detectar caras tapadas por un pasamontaña, detectar armas, reconocer comportamientos sospechosos o realizar potentes e instantáneas búsquedas en las grabaciones de vídeo.
En este artículo podría continuar explicando cómo una maravillosa herramienta de búsqueda de grabaciones basada en inteligencia artificial va a localizar rápidamente la grabación de vídeo que necesito para atender al último incidente de seguridad en tiempo récord. Pero no, eso lo reservaré para otra ocasión y en este artículo me centraré en algo más prosaico, la disponibilidad de las grabaciones o, expresado de otro modo, la robustez de la solución que me proporcione esta disponibilidad. Porque mi sistema puede ser espectacular, pero ¿y si la maravillosa herramienta de búsqueda no encuentra la grabación porque no está disponible? Y no porque tenga una antigüedad de más de 30 días y se haya borrado de manera automática para respetar la ley de protección de datos, sino porque se ha producido alguna pérdida irrecuperable en el sistema de grabación. O bien porque la maravillosa herramienta ha dejado de funcionar.
¿Mala suerte? Puede ser, pero ¿era evitable? Hay quien dice, sin que le falte razón, que la suerte hay que buscarla.
En mercados muy dinámicos y con mucha competencia se ofrecen a menudo soluciones poco maduras o basadas en tecnologías poco fiables. Cuando selecciono un nuevo sistema CCTV, mis criterios de selección deben incluir, lógicamente, las funcionalidades que satisfagan mis necesidades como usuario del sistema; pero también otras características quizás más difíciles de evaluar, si bien no por ello menos importantes: nunca debería renunciar a disponer de una solución robusta, de la que me pueda fiar, que me dé garantías de que dispondré de las grabaciones cuando las necesite y no me dé problemas de mantenimiento.
¿Y cómo evalúo si una solución es robusta? Hay diferentes factores que influyen en la robustez de una solución, de los que destacaría la ciberseguridad, la fiabilidad y el correcto mantenimiento, que afecta a la disponibilidad.
La disponibilidad de las grabaciones no solo depende de la fiabilidad, sino también de la interconexión de los elementos y el tiempo de reparación
Incidentes de ciberseguridad
La ciberseguridad a menudo no se ha tenido en cuenta para evaluar la robustez de una solución, pero hoy en día ha cobrado mucha relevancia. Durante los últimos años hemos asistido a diferentes oleadas de malware y es conocido que varias de ellas han afectado a sistemas de seguridad y a empresas del sector de la seguridad. Todos recordamos cómo se han hecho eco los medios de comunicación de diversos ataques de ransomware, como WannaCry en 2017 o Ryuk más recientemente, en 2019, en los que se exige el pago de un rescate (ransom en inglés) para recuperar la información que ha sido encriptada por el virus.
También se han dado múltiples casos de infecciones de videograbadores y cámaras de seguridad para crear botnets de robots esclavos, que han sido usadas en ataques distribuidos de denegación de servicio (DDoS) dirigidos contra otros sistemas, para envío de spam (correo basura) o para minería de bitcoins. Por ejemplo, en 2016 se produjo un ataque DDoS contra la empresa DYN, que ofrece servicios de DNS dinámico, desde una botnet formada por cámaras y videograbadores infectados por un virus. En 2014 videograbadores de Hikvision infectados fueron utilizados para generar bitcoins. A inicios de 2020 se supo que dispositivos de almacenamiento en red (NAS) de Zyxel y videograbadores de Lilin con una vulnerabilidad fueron explotados por varias botnets.
Elemento de seguridad
Por otra parte, los sistemas de seguridad de hoy en día trabajan mayoritariamente en IP, así que es necesario reconocer que la red IP se ha convertido en un elemento clave en la seguridad. Además, algunos de los componentes del sistema, como por ejemplo las cámaras IP, se encuentran con frecuencia en el exterior de las instalaciones o en zonas de acceso público, lo que supone que su punto de conexión a la red puede ser una peligrosa puerta de entrada al sistema de seguridad y a la red en general.
Todo ello conlleva unos riesgos que debemos analizar, evaluar y mitigar, además de supervisar y tener preparada una respuesta para el momento en que se puedan hacer realidad. Algunos de los riesgos son evidentes, como que las personas o los bienes que estamos protegiendo sean atacados, robados o destruidos mientras el sistema pueda estar inoperativo. Vamos a analizar de manera un poco más detallada otros dos riesgos asociados: el de pérdida de grabaciones, muy ligado a la robustez de la solución, y el reputacional.
Riesgos de pérdida de grabaciones: El malware puede afectar a la disponibilidad de las grabaciones de diferentes maneras. Puede ser de forma totalmente intencionada, es decir, que alguien esté dirigiendo un ataque al sistema CCTV para dejarlo inoperativo mientras comete un acto delictivo. Del mismo modo que un delincuente puede intentar sabotear la alimentación de la instalación para desactivar los sistemas de seguridad (que como contramedida pueden disponer de alimentación por baterías), también se pueden inutilizar cámaras, el sistema de grabación, la visualización o todo el sistema en su conjunto mediante un ataque informático.
Otro modo de afectar al sistema es de manera indirecta; es decir, que un ataque genérico afecte a las grabaciones de vídeo o al sistema CCTV sin que éste sea realmente su objetivo. Por ejemplo, un ataque genérico de tipo ransomware que afecta a los videograbadores puede llegar a bloquear el acceso a las grabaciones. Aunque difícilmente vayamos a pagar un rescate para recuperarlas, y ese es el objetivo del atacante, no podremos acceder a las grabaciones existentes y, además, los videograbadores dejarán de estar operativos mientras se elimina la infección. Por otra parte, si nuestro videograbador infectado está siendo explotado por una botnet para realizar un ataque DDoS o para minería de bitcoins, su rendimiento se verá afectado y probablemente no grabará vídeo de manera correcta.
Riesgos reputacionales: Los riesgos reputacionales pueden surgir como consecuencia de la propia caída del sistema de seguridad, según la notoriedad que alcance el incidente. La publicación de una noticia del estilo de “La caída del sistema CCTV del Museo Acme debido a un ataque informático ha forzado el cierre de puertas durante el pasado fin de semana”, puede ser muy perjudicial.
También pueden surgir riesgos reputacionales si nuestros sistemas son infectados para crear una botnet, con el objetivo de utilizarlos en un ataque de denegación de servicio o para introducir un gusano que infecte los sistemas informáticos de otra empresa, que nos puede culpar de los perjuicios causados por negligencia al no haber protegido correctamente nuestros sistemas. Este riesgo se reduce significativamente si se aísla de manera efectiva la red del sistema CCTV de otras redes, pero esto no siempre es posible.
Al escoger una solución CCTV, debe tener en cuenta que sea robusta, que sus elementos clave sean fiables y que el sistema esté bien protegido
¿Cómo puedo protegerme?
Para protegerme, puedo tomar diversas medidas dirigidas a reducir todo lo posible la superficie de exposición a ataques. Es especialmente importante proteger los elementos clave:
- Proteger el acceso a la red. De este modo se protege al sistema CCTV en su conjunto. Se pueden tomar diversas medidas, pero una de las más evidentes es segmentar redes: aislar la red del sistema CCTV de la red de propósito general y de Internet. Esta medida tiene un efecto colateral no deseado, que es que el sistema operativo de los puestos de operador y de los servidores no se actualizará automáticamente, por lo que se deberá prever la actualización manual de los parches de seguridad con una cierta periodicidad. Otra medida importante es proteger especialmente los puntos de acceso a la red que se encuentren en zonas de acceso público. Para ello, se pueden utilizar sistemas de grabación que incluyan un switch que aporte medidas de seguridad, como es el “Switch PoE+ CCTV” de los videograbadores de Lanaccess, o utilizar procedimientos disponibles en switchs estándar gestionables, como el filtrado de direcciones MAC y la autenticación 802.1X, cuya implementación es por otra parte bastante compleja.
Muchos fabricantes de sistemas CCTV no consideran aún la red un elemento de seguridad y no disponen de switchs integrados. Además, la mayor parte de los que los ofrecen no son más que switchs genéricos metidos dentro del mismo chasis, sin aportar nada especial a nivel de seguridad.
- Proteger especialmente los elementos clave del sistema. El primer paso es identificar cuáles son los elementos clave del sistema. Los puestos de operador son habitualmente reemplazables con cierta facilidad, pueden ser reinstalados o sustituidos con un impacto reducido sobre el sistema, así es que no son elementos clave. Se trata de ordenadores que trabajan con sistemas operativos de propósito general, frecuentemente Windows. En estos equipos es conveniente disponer de un antivirus e instalar los parches de seguridad correspondientes. Los servidores pueden ser algo más críticos, ya que su sustitución conlleva más trabajo y su fallo en algunos casos puede dejar inoperativos a todos los operadores o a parte del sistema. No obstante, habitualmente siguen sin ser elementos clave, ya que también son recuperables.
Las medidas a tomar son las mismas que para los puestos de operador. Sin embargo, las cámaras y especialmente los sistemas de grabación sí son elementos clave. Si fallan, dejaremos de guardar evidencias durante un posible incidente, o incluso perderemos las guardadas previamente, así que debemos prestar especial atención a cómo los seleccionamos. No todas las cámaras ni todos los videograbadores ofrecen los mismos niveles de seguridad. En el caso de las cámaras, es recomendable evitar marcas que se sospeche que puedan ser menos maduras o poco probadas. En el caso de los videograbadores, existen algunos con medidas de seguridad avanzadas, capaces de proteger a las cámaras respecto a la red e incluso aislarlas entre ellas. Además, se puede evitar utilizar en los videograbadores sistemas operativos de tipo Windows, o distribuciones generalistas de Linux o Android, optando por alguna alternativa robusta que nos dé garantías a nivel de ciberseguridad, que trabaje con otro tipo de sistema operativo embebido securizado. De este modo, evitaremos que nos afecten, de manera indirecta, la mayor parte de los ataques, que se dirigen de manera masiva contra los sistemas operativos más populares.
¡Sigue Leyendo!
Aquí te hemos mostrado tan sólo una parte de este contenido.
¿Quieres leer el contenido completo?
