Llevaba tiempo dándole vueltas al asunto de la privacidad y las cámaras de los móviles, pensando ¿por qué si tapaba la cámara del PC no hacía lo mismo con la del télefono? A fin de cuentas, es un dispositivo que cada vez se usa más o incluso ha llegado a prácticamente sustituir al ordenador para el usuario medio. Siempre se ha dicho que hay que tapar la cámara para protegernos, aunque como veremos más adelante no todo el mundo comparte la misma opinión, sin embargo, yo nunca he visto a nadie con conocimiento de causa recomendar tapar la cámara de los móviles.
Esto me llevó a crear una pequeña encuesta en un foro que frecuento, preguntando sobre si los otros usuarios tapaban o no las cámaras de su smartphones o tablets. Para mi sorpresa, muchos empezaron a contestar diciendo que ni si quiera tapaban la del ordenador, como para tapar la del móvil. Esto me chocó bastante, ya que estamos hablando de un foro técnico en el que hay gran cantidad de gente con certificaciones de seguridad. Visto esto, decidí crear una encuesta en Google Forms que publiqué en distintos sitios dónde se supone que el público tiene concienciación sobre la privacidad y la seguridad informática:
- Un foro sobre certificaciones y trabajo en IT, con gran cantidad de gente con CISSP, CISM, CISA, Security+, OSCP, CEH....
- El canal ##security de FreeNode
- Un foro sobre cypherpunk
- El grupo de LinkedIn de la EFF
- La lista de correos de la RootedCON
Por lo tanto, los resultados de este análisis están basados en gente que se supone que tiene cierta base en seguridad y privacidad.
Antes que nada, me gustaría aclarar una cosa, ya que recibí varias quejas sobre por qué hacía una encuesta anónima y sin embargo requería tener cuenta en Google. Esto era simplemente por utilizar la opción de evitar que una misma persona pudiera votar más de una vez, pero en ningún caso yo podía ver quién votó y quién no.
Figura 1 - Aparte de los resultados sólo aparecía la hora a la que se votó |
Dicho esto, veámos los resultados de esta pequeña encuesta en la que han participado 100 personas. En el caso de los ordenadores:
Considerando el público que fue encuestado, me parece sorprendente que hayan tantos que han votado no. Las opiniones de los que defienden que tapar la cámara es irrelevante se pueden resumir en:
- El micrófono es más importante que la cámara.
- No es necesario ya que la luz indica cuando está en funcionamiento.
- La probabilidad de que te hackeen es mínima.
- Si alguien tiene acceso a la cámara, significa que ya tiene acceso al sistema, por lo que que pueda verme la cara es el menor de mis problemas.
- Me da igual que me saquen una foto, no hay nada que esconder.
- No es una amenaza seria.
- No cubrir la cámara permite identificar a un posible ladrón.
En mi opinión, esta última es la única que tiene una base razonable, y de hecho, se han recuperado ordenadores gracias a eso. El resto son ampliamente debatibles. Por ejemplo, el caso del micrófono, yo también estoy de acuerdo en que el micrófono es igual o incluso más importante que la cámara, especialmente en un entorno laboral. Pero, y qué? Por este motivo no hay que decidir implementar otra medida de seguridad? Me quedo con el comentario de Kinomakino en la lista de la Rooted:
por que pones un un waf, si actualizas wordpress? por que fortificas
wordpress, si tienes waf y updates? porque gestionas el siem, si tienes waf,
updates, fortificación? por qué pones un antivirus si tienes...
TODAS las medidas que pongamos para velar por nuestra seguridad y la de los
que nos rodean (empresa-familia) que no impliquen una perdida/Deterioro delservicio, no se porque no ponerlas en marcha.
Sobre el tema de la luz, está demostrado que se puede activar la cámara sin encender el LED. De hecho, esta es una de las técnicas que usó el FBI en la búsqueda de un terrorista.
La opinión de que si se tiene acceso a la cámara significa que se tiene acceso al sistema no la veo acertada (puedo equivocarme que conste), pero entiendo que está opinión se basa en que el sistema tiene un RAT y no tiene por qué ser siempre así. Veáse por ejemplo la reciente vulnerabilidad de Flash Player, CVE-2015-3044.
Que la probabilidad de tener problemas a través de la cámara sea mínima es aceptable teniendo en cuenta la base de los votantes, ya que se supone que cada uno sabe como defender sus sistemas. Pero, tanto cuesta colocar un trocito de cinta como media preventiva ante un 0day?
Por último y no menos importante, no hay que ser tan narcisista. No sólo se trata de que se pueda ver a la persona física que hay detrás, que esto ya de por sí es una violación de privacidad, sino también de ver el entorno, con el objetivo de obtener cualquier pieza de información que pueda ser utilizada posteriormente en un ataque. Por ejemplo, en una búsqueda rápida por "webcam selfies", me encuentro esta imagen de un adolescente en el que se puede observar en el fondo que es fan de One Direction. Un dato tal vez irrelevante, pero quién sabe... También se pueden encontrar títulos, diplomas, fotos....
Figura 3 - Un fan de One Direction |
Los resultados de la votación sobre los smartphones son los siguientes:
Figura 4 - Votación sobre la cámara de los smartphones |
Como me imaginaba se puede observar que la mayoría no tapamos la cámara de nuestros teléfonos. La opción de Yes implica tanto la cámara delantera y la trasera, como solo la trasera en caso de que el terminal no disponga de cámara frontal. Como era de esperar, nadie protege únicamente la cámara trasera en caso de tener ambas cámaras.
Añadido a lo dicho anteriormente, otro de los motivos por los que no se tapan las cámaras es porque generalmente el móvil se encuentra o bien en el bolsillo o bien sobre una mesa. Respecto a lo segundo, hay que tener en cuenta el campo de visión de la cámara.
Qué medidas se pueden tomar para hacer frente a esto? Algunos más radicales sugieren quitar los drivers del dispositivo, pero esto afecta directamente a la usabilidad. Si nunca vas a utilizar la cámara, pues bueno..., pero generalmente no es una buena opción. La solución más fácil y práctica es aplicar algo tan simple como un trozo de cinta negra o algo "más elaborado" como un parche con una pestaña deslizante, aunque esto puede provocar que no se pueda cerrar la tapa correctamente. En el caso de una webcam externa, mirando para la pared o desenchufada cuando no se use (y así se evita el problema del micrófono también!).
Ayoze Fernández (@ayozint)
9 comments :
Es mentira que no se pueda activar la cámara sin encender la luz.
http://www.xataka.com/portatiles/la-camara-de-tu-macbook-puede-estar-espiandote-sin-que-te-enteres
Hay expertos en seguridad que recomiendan tapar la cámara y han mostrado mas de una vez de forma práctica como se usa para espiarnos, Chema Alonso, por poner un ejemplo.
A pesar de que aún estoy estudiando, que no soy ningún "hacker" ni nada que se le parezca, pienso en cuántas veces habré oído eso de que una cosa es más importante que otra y eso para ellos es motivo suficiente para no fortificarse y sobre todo el punto 5, ¡Que no tienen nada que esconder! (como si a algún mafioso no le interesasen tus simples datos para venderlos a quien quiera suplantar una identidad para cometer otros delitos).
Me pasa mucho cuando aconsejo a amigos y familiares mejorar la seguridad de sus redes, sobre todo WiFi, y me tildan de loco y de paranoico. Quizá en una ciudad pequeña no haya mucho "cracker" pero si hablamos de Madrid, Barcelona...
Y lo peor es que muchos de los que piensan así son ¡informáticos! con carrera o con un simple grado medio o superior. Un compañero me ha tildado de "paranoico" por tapar las webcams preinstaladas en mis laptops. Eso es lo más grave del asunto.
Saludos.
Buen Dia
¿Necesita un préstamo urgente? usted será rechazada préstamo del banco o del someother empresas? Inmediatamente solicitar un préstamo rápido y conveniente hoy en SARAH BENSON Loan Company PLC (SBC). Estamos 24 horas en línea y confiable para usted. Correo electrónico: sarahbenson105@outlook.com
INFORMACIÓN DEL DEUDOR QUE SE REQUIERE
Nombre Completo:
Dirección de contacto:
País:
Cantidad necesaria como préstamo:
Duración del préstamo:
Propósito del préstamo:
Ocupación:
Sexo:
Edad:
Número Telefónico:
Habla usted Inglés?
Correo electrónico: sarahbenson105@outlook.com
Atentamente,
Sra SARAH BENSON
Directora / MD
En vez de tapar la cámara, lo que hago en mi caso es deshabilitar e, incluso, desinstalar el driver de la cámara. Ya que nunca la he usado.
Aunque la información o datos que uno pueda llegar a tener en el ordenador no lo comprometa directa o indirectamente con la justicia, cualquier dato personal siempre sera de interés para un ciberdelincuente ;-)
'Quisque aliquid habet quod occultet'
Eso te protege de ataques menos sofisticados pero un troyano podria tener incluido un driver de tu camara.
Muy interesante.
Un consejo si tapáis la cámara del móvil.
Al estar al lado del sensor de luz, en algunos casos incluso cumple esta función la propia cámara, para poder cortar una llamada debéis destaparla ya que si no el móvil tendrá la pantalla bloqueada. Esto se debe a que al no detectar luz los teléfonos bloquean la pantalla para no pulsarla con la mejilla mientras hablamos.
Por supuesto no me refiero a la cámara trasera.
¡Un saludo!
Solicitar un préstamo rápido y conveniente para pagar cuentas y para iniciar unanueva financiación sus proyectos en menor tasa de interés del 3%. En contacto con nosotros hoy a través: trustfunds404@yahoo.com con el monto delpréstamo deseado como nuestra oferta de préstamo mínimo es 1,000.00 opciónpara cualquiera de la cantidad del préstamo. Estoy certificado, registrado ylegítimo prestamista. Puedes contactar conmigo hoy si usted quiere obtener unpréstamo de nosotros...
Demanda de préstamo está presentada.
(1) apellidos:
(2) la cantidad necesaria como préstamo:
(3) del plazo del préstamo:
(4) número de teléfono:
(5) país:
(6) estado / provincia:
Nota: Todas las respuestas deben enviarse a: trustfunds404@yahoo.com para elprocesamiento rápido.
Gracias
El Sr. Stephen Brown.
Hola,
Todo
el mundo estoy tan feliz dando un vistazo a mi gran testimonio de cómo
conseguí mi préstamo deseo del Sr. Franklin Osayande de Scott Loan
Company, quiero usar rápidamente esta oportunidad para dejar que todo el
mundo saber de esto, Am señora Ann Maxwell de España, que era en
busca de un préstamo para iniciar mi propio negocio en apoyo de mi
marido con respecto a los gastos de los niños, así que fui en línea en
busca de préstamo cuando me encontré con algunos prestamistas que hacen
trampa y estafado a mi poco dinero en ese proceso del tiempo que me
dieron confundido i ni
siquiera saben lo que hacer más porque el poco dinero que tenía con mí
fue llevado por esos bastardos fraudulentos que se hacen llamar los
prestamistas de préstamos reales, Así que en un día fiel como yo estaba
navegando por Internet en busca de trabajo me encontré con algunos
testimonios comentados en el foro por uno Sr. Andrew Fred, y la señora
Mónica Luis en la forma en que reciben su préstamo del Sr. Franklin Loan
Company Email: franklinosayandescott@gmail.com Así que me dije a mí
mismo que tengo que dar esto un juicio porque yo estaba tan respecto
miedo de lo que los otros prestamistas hicieron a mí, así que me fui
por delante tomó su dirección de correo electrónico personal que se
encontraba en esos comentarios del foro, así que contactamos con él para
informarle de que yo estaba arbitrado a él por algunos clientes que
recibieron su préstamo de su empresa,
el Sr. Andrew Fred, y la señora Mónica Luis, Así que cuando se enteró
de que estaba muy feliz por eso, así que mí que estoy en la compañía
adecuada aseguraron donde puedo recibir mi préstamo deseo, Me dieron el
formulario de solicitud de préstamo del prestatario para
llenar y devolver, hice todo lo que, teniendo en cuenta que toda mi
información necesaria se trata de mí, así que me dieron los términos y
condiciones de su compañía todo transcurrió sin problemas y sin ninguna
demora, en no menos de 24 horas se me informó que mi préstamo suma
válida de
€ 6.000.000 que se ha registrado y aprobado por su junta de préstamo de
fiduciario, Así que en ese proceso del tiempo yo estaba tan feliz
cuando me dijeron que debo enviarlos por datos bancarios, pero estaba
poco escéptico de hacer eso, así que dijo que tengo confianza
y creer en este prestamista llaman Sr. Franklin Scott, yo les di por
cuenta bancaria de manera sorprendente que recibo y alerta de mi banco
que mi cuenta ha sido acreditado con la suma de € 6.000.000 por el Sr.
Franklin Osayande Scott, WOW..i casi se desmaya ,
así que le enviaremos un correo electrónico con urgencia que tengo
recibir mi préstamo con éxito, Así que mis queridos hermanos y hermanas
por ahí todavía en busca de compañía de préstamos genuina voy a
aconsejar que se comunique amablemente el señor Franklin Osayande de
Scott con este mismo e-mail: franklinosayandescott @ gmail. com y yo sé que él también le ayudará con la cantidad del préstamo deseo bien, Enviar hoy y usted será feliz de haberlo hecho.
Publicar un comentario