Ciberseguridad alertó de fallos en las cámaras chinas que vigilan las instalaciones del Estado

El Instituto Nacional de Ciberseguridad (Incibe) ha alertado en diferentes y recientes informes, a los que ha accedido THE OBJECTIVE, de graves fallos de seguridad y vulnerabilidades en las cámaras de la tecnológica china Hikvision. Esta reconocida compañía, que desarrolla múltiples productos de vigilancia, está presente en medio mundo y prohibida en la otra mitad. Su tecnología está en el punto de mira porque puede ser utilizada para espionaje. La compañía ha sido ampliamente cuestionada por sus vínculos con el Gobierno chino.

Las cámaras chinas de Hikvision, como ha informado THE OBJECTIVE, están presentes en numerosos ministerios y en organismos públicos que prestan servicios críticos. Renfe, el Administrador de Infraestructuras Ferroviarias (ADIF), RTVE o los ministerios de Hacienda, Interior y Presidencia y numerosos ayuntamientos han confiado en esta tecnología china, que es suministrada por empresas europeas que han pasado todos los filtros. En paralelo, Estados Unidos, Canadá, Australia, Dinamarca o Lituania tienen vetados los productos de Hikvision por los riesgos que podrían causar a su seguridad nacional.

Hikvision aparece en el listado de entidades identificadas como empresas militares chinas que operan en el país norteamericano. El último informe fue elaborado por el Departamento de Defensa de EEUU el pasado enero. Las cámaras y visores de Hikvision se utilizan en la vigilancia de accesos de edificios e instalaciones, entre otros cometidos. Los productos de la tecnológica china permiten, mediante la captura y grabación de vídeo, registrar imágenes faciales y compararlas con una precisión increíble. La inteligencia artificial tiene un papel muy importante en la mayoría de sus servicios.

Informes de Ciberseguridad

En octubre de 2022, el Incibe publicaba dos fallos de seguridad en productos Hikvision. La red de la china había publicado dos vulnerabilidades «que podrían permitir a un atacante la ejecución de comandos o realizar ataques XSS». El riesgo de seguridad estaba marcado como alto.

Mientras, en octubre de 2023, el departamento estatal de ciberseguridad advertía sobre múltiples vulnerabilidades, graves, de los productos Hikvision. «Los investigadores, Andres Hinnosaar, con el soporte de NATO CCDCOE, y Peter Szot, de Skylight Cyber, han reportado dos vulnerabilidades, de severidades alta y media, a HSRC (centro de respuesta de seguridad de Hikvision)».

Destacaba que la explotación exitosa de estas vulnerabilidades podría permitir a un atacante secuestrar una sesión y obtener permisos de operación del dispositivo, o modificar la configuración de red del dispositivo enviando paquetes de datos específicos a una interfaz vulnerable dentro de la misma red local. Sin duda, un grave riesgo. Mientras, la empresa china recomendaba, para combatir estos agujeros de seguridad, descargar parches.

Un mes más tarde, alertaba de «un desbordamiento del búfer en la función de recuperación de contraseña de los modelos NVR/DVR de Hikvision». Con un riesgo medio, advertía de que si un atacante en la misma red de área local (LAN) podría provocar un mal funcionamiento del dispositivo al enviar paquetes especialmente manipulados a un dispositivo sin parches.

Mucho más grave fue un incidente sobre el que se informó el 27 de noviembre. Algunos productos de Hikvision se había visto afectados por una vulnerabilidad de omisión de autenticación en el módulo Hik-Connect. Esta situación podría permitir a atacantes remotos consumir servicios enviando mensajes manipulados a los dispositivos afectados.

Avisos sobre las cámaras chinas

La página web del Incibe, una entidad pública dedicada a fortalecer la ciberseguridad, apuntaba una vulnerabilidad crítica, de tipo desbordamiento de búfer en el complemento de navegador web LocalServiceComponents, podría permitir a un atacante enviar mensajes maliciosos a equipos instalados con este complemento, lo que podría conducir a la ejecución de código arbitrario o «provocar la excepción del proceso del complemento».

Ya en 2024 tienen lugar dos nuevas alertas sobre los productos y cámaras chinas. Una de las vulnerabilidades, de nivel alto, podría facilitar que un usuario autenticado con derechos administrativos ejecute comandos arbitrarios. Michael Dubell y Abdulazeez Omar han informado de dos vulnerabilidades: una de severidad alta y otra de severidad media que podrían permitir a un atacante obtener acceso a determinadas URL a las que no debería tener acceso o acceder a ciertos recursos a los que el atacante no debería tener acceso cambiando los valores de los parámetros.

El pasado junio, se advertía nuevamente de agujeros y fallos de seguridad en los productos Hikvision. Algunos Hikvision Wireless Access Point, señalaba, son vulnerables a la ejecución remota de comandos autenticados debido a una validación de entrada insuficiente. «Los atacantes con credenciales válidas pueden explotar esta vulnerabilidad enviando paquetes manipulados con comandos maliciosos a los dispositivos afectados, lo que provoca la ejecución arbitraria de comandos», destacaba.

THE OBJECTIVE ha localizado y analizado decenas de contratos que afectan, además de a los organismos ADIF, Renfe y RTVE, a Correos y Telégrafos a numerosos ayuntamientos. Entre los municipios que han cedido sus espacios a las cámaras chinas están el de Alcorcón, el de Torrejón de Ardoz y el de Tres Cantos, en Madrid, y La Pobla de Valbona (Valencia).

Hikvision en la red ferroviaria

ADIF impulsó en 2023 el Centro Neuronal de Estaciones (CNE). La iniciativa ha costado 34,2 millones de euros y ha sido desarrollada por una UTE compuesta por Enyse e Indra. El CNE coordina los servicios en las estaciones de viajeros de Adif y Adif Alta Velocidad. Además, facilita la gestión, las operaciones y el mantenimiento de las instalaciones y sistemas de forma remota y centralizada. El cerebro de las estaciones del administrador ferroviario permite la gestión remota de sistemas en 637 de las 1.500 terminales de viajeros de ADIF.

Renfe adjudicó en 2021 un contrato a Imotion Retail valorado en 781.000 euros para aplicar un servicio de Analítica Inteligente de vídeo en 25 estaciones de Cercanías. Las cámaras IP existentes, según se detalla en el pliego técnico, corresponden a Hikvision, Indigo Vision y Aviglion. Destaca el pliego que esta información permite al licitador conocer la ideoneidad para la captación de los streams de video con los parámetros de resolución, frames por segundo, filtros WDR, iluminación que requiera su plataforma de analítica.