Una cámara con firmware desactualizado y password por defecto puede ser hackeada en minutos por bots que escanean internet. Si tu cámara queda expuesta, no solo te espían: la usan como puerta de entrada a tu red corporativa y eventualmente como nodo de botnet para atacar a otros. Esta guía te enseña a auditar tu sistema antes de que sea tarde.
1. Identifica la marca, modelo y firmware actual
- Entra al panel web de tu NVR / cámara.
- Ve a Información del Sistema / About.
- Anota: marca, modelo, versión de firmware, fecha de fabricación.
2. Compara con la última versión disponible
Visita el sitio oficial del fabricante (Dahua, Hikvision, Axis, etc.) y compara tu versión con la última publicada.
- Si tu firmware tiene 12+ meses sin actualizar: riesgo medio-alto.
- Si tiene 24+ meses: riesgo alto.
- Si el modelo ya no recibe actualizaciones: riesgo crítico, programa reemplazo.
3. Busca CVEs publicados para tu modelo
Visita cve.mitre.org y busca tu modelo. Si aparecen vulnerabilidades publicadas (CVE) y tu firmware no las soluciona, actualiza inmediatamente o aísla la cámara de internet.
4. Verifica password
- ¿La cuenta admin tiene password por defecto (admin/admin, admin/12345)? Cambiar AHORA.
- ¿El password tiene menos de 12 caracteres? Cambiar.
- ¿Tienes el mismo password en todas las cámaras? Cambiar (al menos una por categoría).
- ¿Compartes el password por WhatsApp? Usa gestor seguro (Bitwarden, 1Password).
5. Verifica exposición a internet
Tu cámara NO debe estar expuesta directamente a internet. Para verificar:
- Anota la IP pública de tu oficina (whatismyip.com).
- Desde fuera de tu red, intenta acceder a esa IP en puerto 80, 8080, 443, 37777, 34567.
- Si carga la página de login de tu cámara o NVR: estás expuesto. Cierra el puerto en tu router.
6. Verifica protocolos inseguros
- HTTPS habilitado (no solo HTTP): obligatorio.
- UPnP DESHABILITADO en NVR y router (UPnP es la causa #1 de exposición no intencional).
- Telnet DESHABILITADO.
- SSH solo si lo usas, con clave (no password).
7. Auditoría de usuarios
- ¿Existen usuarios “TI antiguo”, “instalador”, “demo”? Eliminar.
- ¿Cada operador tiene su propio usuario? Mejor que compartir admin.
- ¿El log muestra accesos desde IPs extrañas? Investigar.
8. Verifica integración con red corporativa
- Cámaras y NVR deben estar en VLAN separada de la red de oficina.
- Si una cámara comprometida puede llegar a tu servidor de Active Directory, es problema mayor.
9. Verifica fabricantes en listas de prohibidos
Algunos países (EE.UU., UK) prohíben marcas específicas en instituciones por riesgo de espionaje. Hikvision y Dahua tienen restricciones en algunos contratos públicos internacionales. Si tu sistema es para gobierno, fuerzas armadas o energía crítica, revisa estas listas.
Qué hacer si descubres una brecha
- Cambia password admin inmediatamente.
- Actualiza firmware.
- Deshabilita UPnP en router.
- Cierra puertos expuestos.
- Cambia password de admin de router.
- Audita logs por accesos sospechosos.
- Si hay sospecha de compromiso real, considera reemplazo del equipo.
Cierre
Branner Chile ofrece auditoría de ciberseguridad para sistemas CCTV existentes: revisa firmware, exposición, integración de red y entrega informe con prioridades. Solicita auditoría.