{"id":19208,"date":"2023-02-01T16:20:20","date_gmt":"2023-02-01T16:20:20","guid":{"rendered":"https:\/\/domosistemas.com\/?p=19208"},"modified":"2023-02-01T16:20:20","modified_gmt":"2023-02-01T16:20:20","slug":"un-grave-problema-de-seguridad-en-las-camaras-anker-dejaba-expuestos-a-sus-usuarios-reconocen-que-las-emisiones-no-tenian-cifrado","status":"publish","type":"post","link":"https:\/\/domosistemas.com\/?p=19208","title":{"rendered":"Un grave problema de seguridad en las c\u00e1maras Anker dejaba expuestos a sus usuarios: reconocen que las emisiones no ten\u00edan cifrado"},"content":{"rendered":"<div>\n<p>\n      <img decoding=\"async\" src=\"https:\/\/i.blogs.es\/b32832\/anker\/1024_2000.jpeg\" alt=\"Un grave problema de seguridad en las c\u00e1maras Anker dejaba expuestos a sus usuarios: reconocen que las emisiones no ten\u00edan cifrado\">\n    <\/p>\n<p>Anker nos ha demostrado en los \u00faltimos meses que cuando un fabricante de <a href=\"https:\/\/www.xataka.com\/seleccion\/guia-compra-camaras-vigilancia-recomendaciones-11-modelos-para-interiores-exteriores-bebes-mascotas\">c\u00e1maras de seguridad<\/a> afirma que las grabaciones quedan almacenadas \u00fanicamente en local, hay que desconfiar. La firma ha sido protagonista de uno de los \u00faltimos esc\u00e1ndalos en cuanto a seguridad en el hogar. Y es que varios usuarios afirmaban <strong>poder ver las emisiones de sus c\u00e1maras de seguridad Eufy de Anker<\/strong> desde cualquier dispositivo haciendo uso de un reproductor como <a href=\"https:\/\/www.xatakahome.com\/reproductores\/mis-siete-reproductores-multimedia-favoritos-para-ver-videos-ordenador-mejor-calidad-imagen-sonido#:~:text=Descarga%20%7C%20MPC-BE-,VLC%20Media%20Player,-VLC%20Media%20Player\">VLC<\/a>, suponiendo un grave problema de seguridad que afectar\u00eda a todos los usuarios con este producto.<\/p>\n<p><!-- BREAK 1 --><\/p>\n<p>El compromiso de Anker sobre el almacenamiento de v\u00eddeo \u00ab\u00fanicamente en local\u00bb y con \u00abcifrado de extremo a extremo de grado militar\u00bb se evapor\u00f3 r\u00e1pidamente cuando la gente se hizo eco de la noticia. Ahora la compa\u00f1\u00eda <a href=\"https:\/\/www.theverge.com\/23573362\/anker-eufy-security-camera-answers-encryption\">ha admitido<\/a> finalmente que, efectivamente, <strong>sus c\u00e1maras de seguridad no dispon\u00edan de cifrado de extremo a extremo de forma nativa<\/strong>. Desde Xataka Smart Home hemos contactado con Anker para m\u00e1s informaci\u00f3n al respecto, por lo que actualizaremos en cuanto conozcamos m\u00e1s detalles.<\/p>\n<p><!-- BREAK 2 --><\/p>\n<h2>C\u00f3mo cualquier usuario pod\u00eda conectarse a la emisi\u00f3n en directo de una c\u00e1mara de seguridad Eufy<\/h2>\n<p>El medio The Verge le dio <a href=\"https:\/\/www.theverge.com\/2022\/11\/30\/23486753\/anker-eufy-security-camera-cloud-private-encryption-authentication-storage\">un ultim\u00e1tum<\/a> al fabricante poco despu\u00e9s de conocerse que, durante el D\u00eda de Acci\u00f3n de Gracias en Estados Unidos, Paul Moore, consultor en seguridad, y un hacker que se hace llamar Wasabi en redes, pudieron conectar con un v\u00eddeo en directo de sus c\u00e1maras de seguridad Eufy a trav\u00e9s de un reproductor como VLC. Lo \u00fanico que tuvieron que hacer fue retransmitir en directo a trav\u00e9s de los servidores de Eufy y <strong>conectarse a la emisi\u00f3n a trav\u00e9s de una direcci\u00f3n \u00fanica<\/strong>. Esta direcci\u00f3n se pod\u00eda obtener entrando en el modo de depuraci\u00f3n del navegador y extrayendo el enlace de la emisi\u00f3n. Moore publicaba <a href=\"https:\/\/youtu.be\/qOjiCbxP5Lc\">un v\u00eddeo<\/a> para explicar detalladamente el proceso.<\/p>\n<p><!-- BREAK 3 --><\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Ah well, the cats out the bag now&#8230; so may as well tell you.<\/p>\n<p>You can remotely start a stream and watch <a href=\"https:\/\/twitter.com\/EufyOfficial?ref_src=twsrc%5Etfw\">@EufyOfficial<\/a> cameras live using VLC. No authentication, no encryption.<\/p>\n<p>Please don&#8217;t ask for a PoC &#8211; I can&#8217;t release this one.<\/p>\n<p>Heads up <a href=\"https:\/\/twitter.com\/TechLinkedYT?ref_src=twsrc%5Etfw\">@TechLinkedYT<\/a> <a href=\"https:\/\/twitter.com\/LinusTech?ref_src=twsrc%5Etfw\">@LinusTech<\/a> <a href=\"https:\/\/t.co\/sU3FyRaELX\">https:\/\/t.co\/sU3FyRaELX<\/a><\/p>\n<p>\u2014 Paul Moore (@Paul_Reviews) <a href=\"https:\/\/twitter.com\/Paul_Reviews\/status\/1596048648416423936?ref_src=twsrc%5Etfw\">November 25, 2022<\/a>\n<\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Esto hubiera pasado algo m\u00e1s desapercibido si Anker no promocionara su producto como un dispositivo que almacena v\u00eddeo \u00aben local\u00bb y que dispone de \u00abcifrado de extremo a extremo\u00bb. Sin embargo, parece que <strong>lo que se \u00ables pas\u00f3\u00bb cifrar eran las retransmisiones en directo<\/strong> que se pod\u00edan seguir desde la plataforma de Eufy si un usuario iniciaba sesi\u00f3n con sus credenciales (y cualquier otra persona si dispon\u00eda de la direcci\u00f3n).<\/p>\n<p><!-- BREAK 4 --><\/p>\n<p>Para resumir el problema, es como si t\u00fa subes un v\u00eddeo a YouTube como \u00aboculto\u00bb. De esta manera, nadie sabr\u00e1 que has subido un v\u00eddeo si no compartes el enlace, pero realmente el v\u00eddeo se queda almacenado en los servidores y es perfectamente visible si alguien obtiene el enlace al v\u00eddeo (sin mencionar que hay p\u00e1ginas webs que recopilan v\u00eddeos en oculto de YouTube).<\/p>\n<p><!-- BREAK 5 --><\/p>\n<h2>Anker se disculpa y ya tiene soluciones<\/h2>\n<p>Tal y como mencionan desde The Verge, finalmente la compa\u00f1\u00eda ha admitido que sus c\u00e1maras de seguridad Eufy <strong>no contaban con cifrado de extremo a extremo cuando se trataba de realizar una emisi\u00f3n en directo<\/strong>, sino que el cifrado ocurr\u00eda cuando se almacenaba un v\u00eddeo procedente de la c\u00e1mara.<\/p>\n<p><!-- BREAK 6 --><\/p>\n<div class=\"article-asset article-asset-normal article-asset-center\">\n<div class=\"desvio-container\">\n<div class=\"desvio\">\n<div class=\"desvio-figure js-desvio-figure\">\n    <a href=\"https:\/\/www.xatakahome.com\/seguridad-en-el-hogar\/siete-camaras-seguridad-que-controlar-tu-casa-te-vas-vacaciones\"><br \/>\n     <img decoding=\"async\" alt=\"Siete c\u00e1maras de seguridad con las que vigilar tu casa mientras te vas de vacaciones\" src=\"https:\/\/i.blogs.es\/821a60\/imagen1-camaras\/375_142.webp\" onerror='this.src=\"https:\/\/i.blogs.es\/821a60\/imagen1-camaras\/375_142.png\"'><br \/>\n    <\/a>\n   <\/div>\n<div class=\"desvio-summary\">\n<div class=\"desvio-taxonomy js-desvio-taxonomy\">\n     <a href=\"https:\/\/www.xatakahome.com\/seguridad-en-el-hogar\/siete-camaras-seguridad-que-controlar-tu-casa-te-vas-vacaciones\" class=\"desvio-taxonomy-anchor\">En Xataka Smart Home<\/a>\n    <\/div>\n<p>    <a href=\"https:\/\/www.xatakahome.com\/seguridad-en-el-hogar\/siete-camaras-seguridad-que-controlar-tu-casa-te-vas-vacaciones\" class=\"desvio-title js-desvio-title\">Siete c\u00e1maras de seguridad con las que vigilar tu casa mientras te vas de vacaciones<\/a>\n   <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n<p>El problema parece estar ya solucionado para buena parte de sus usuarios, ya que seg\u00fan asegura Anker, <strong>han actualizado sus c\u00e1maras de seguridad a WebRTC<\/strong>, aplicaci\u00f3n que utiliza encriptaci\u00f3n por defecto. Sin embargo, seg\u00fan menciona The Verge, a\u00fan es posible que estas c\u00e1maras puedan todav\u00eda producir emisiones sin cifrar bajo previa solicitud. Bajo estas l\u00edneas se encuentran las declaraciones de Eric Villines, responsable global de comunicaciones en Anker:\u00a0<\/p>\n<p><!-- BREAK 7 --><\/p>\n<blockquote><p>Anteriormente, tras acceder a nuestro portal web seguro en eufy.com, un usuario registrado pod\u00eda entrar en modo de depuraci\u00f3n, utilizar la DevTool del navegador web para localizar la transmisi\u00f3n en directo y, a continuaci\u00f3n, reproducir o compartir ese enlace con otra persona para que lo reprodujera fuera de nuestro sistema seguro. Sin embargo, habr\u00eda sido decisi\u00f3n del usuario compartir ese enlace, y habr\u00eda necesitado iniciar sesi\u00f3n primero en el portal web de eufy para obtener este enlace.<\/p><\/blockquote>\n<blockquote><p>Hoy, bas\u00e1ndonos en los comentarios del sector y por precauci\u00f3n, el portal web de eufy Security proh\u00edbe a los usuarios entrar en el modo de depuraci\u00f3n, y el c\u00f3digo se ha reforzado y ofuscado. Adem\u00e1s, el contenido del streaming est\u00e1 cifrado, lo que significa que las retransmisiones ya no se pueden reproducir en reproductores multimedia de terceros como VLC.<\/p><\/blockquote>\n<div class=\"article-asset-video article-asset-large article-asset-center\">\n<div class=\"asset-content\">\n<div class=\"base-asset-video\">\n<div class=\"js-dailymotion\">\n    <script type=\"application\/json\">\n           {\"videoId\":\"x7zivh4\",\"autoplay\":true,\"title\":\"C\u00f3mo mejorar la SEGURIDAD EN INTERNET VPN, DNS y p\u00e1ginas con HTTPS\", \"tag\":\"\"}\n         <\/script>\n   <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n<p>La compa\u00f1\u00eda tambi\u00e9n se ha disculpado por la falta de comunicaci\u00f3n y ha prometido mejorar su <em>modus operandi<\/em>. Anker ha confirmado que est\u00e1 contratando a empresas externas de seguridad para auditar las pr\u00e1cticas de Eufy. Adem\u00e1s, la empresa est\u00e1 en conversaciones con un \u00abdestacado y conocido experto en seguridad\u00bb para elaborar un informe independiente, prometiendo adem\u00e1s desarrollar un programa de recompensas por detecci\u00f3n de fallos de seguridad y una web para explicar el funcionamiento de su seguridad en detalle.<\/p>\n<p><!-- BREAK 8 --><\/p>\n<p>Conocer los informes de empresas de seguridad externas ayudar\u00e1n a la compa\u00f1\u00eda a volver a ganar la reputaci\u00f3n que hab\u00eda adquirido con sus productos, ya que dif\u00edcilmente los usuarios volver\u00edan a confiar en ella por s\u00ed solos.<\/p>\n<p><!-- BREAK 9 --><\/p>\n<p>Imagen de portada | <a href=\"https:\/\/us.eufy.com\/?ref=logo\">Anker Eufy<\/a><\/p>\n<p><script>\n (function() {\n  window._JS_MODULES = window._JS_MODULES || {};\n  var headElement = document.getElementsByTagName('head')[0];\n  if (_JS_MODULES.instagram) {\n   var instagramScript = document.createElement('script');\n   instagramScript.src = 'https:\/\/platform.instagram.com\/en_US\/embeds.js';\n   instagramScript.async = true;\n   instagramScript.defer = true;\n   headElement.appendChild(instagramScript);\n  }\n })();\n<\/script><\/p>\n<p> &#8211; <br \/> La noticia<br \/>\n      <a href=\"https:\/\/www.xatakahome.com\/seguridad-en-el-hogar\/grave-problema-seguridad-camaras-anker-dejaba-expuestos-a-sus-usuarios-reconocen-que-emisiones-no-tenian-cifrado?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=01_Feb_2023\"><br \/>\n       <em> Un grave problema de seguridad en las c\u00e1maras Anker dejaba expuestos a sus usuarios: reconocen que las emisiones no ten\u00edan cifrado <\/em><br \/>\n      <\/a><br \/>\n      fue publicada originalmente en<br \/>\n      <a href=\"https:\/\/www.xatakahome.com\/?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=01_Feb_2023\"><br \/>\n       <strong> Xataka Smart Home <\/strong><br \/>\n      <\/a><br \/>\n            por <a href=\"https:\/\/www.xatakahome.com\/autor\/antonio-vallejo?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=01_Feb_2023\"><br \/>\n       Antonio Vallejo<br \/>\n      <\/a><br \/>\n      . <\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Anker nos ha demostrado en los \u00faltimos meses que cuando un fabricante de c\u00e1maras de seguridad afirma que las grabaciones quedan almacenadas \u00fanicamente en local, hay que desconfiar. La firma ha sido protagonista de uno de los \u00faltimos esc\u00e1ndalos en cuanto a seguridad en el hogar. Y es que varios usuarios afirmaban poder ver las &hellip; <a href=\"https:\/\/domosistemas.com\/?p=19208\" class=\"more-link\">Sigue leyendo <span class=\"screen-reader-text\">Un grave problema de seguridad en las c\u00e1maras Anker dejaba expuestos a sus usuarios: reconocen que las emisiones no ten\u00edan cifrado<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8],"tags":[],"class_list":["post-19208","post","type-post","status-publish","format-standard","hentry","category-xataka"],"_links":{"self":[{"href":"https:\/\/domosistemas.com\/index.php?rest_route=\/wp\/v2\/posts\/19208","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/domosistemas.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/domosistemas.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/domosistemas.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/domosistemas.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=19208"}],"version-history":[{"count":0,"href":"https:\/\/domosistemas.com\/index.php?rest_route=\/wp\/v2\/posts\/19208\/revisions"}],"wp:attachment":[{"href":"https:\/\/domosistemas.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=19208"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/domosistemas.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=19208"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/domosistemas.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=19208"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}