Vigilancia Vulnerada: Cuando las Cámaras Policiales se Convierten en el Juguete de un Hacker

Vigilancia EstatalCiberseguridad
Escrito por SecAlly

Imagina que las cámaras de alta tecnología diseñadas para detener el crimen en tu ciudad son, de repente, controladas por un desconocido. No solo las está viendo; las está renombrando con insultos, borrando evidencia criminal y exponiendo los rostros de miles de ciudadanos a la red abierta. Esto no es el guion de Mr. Robot, es la realidad que enfrentó Flock Safety, el gigante de los lectores de placas (ALPR), en una serie de brechas de "vandalismo de datos" que han puesto en jaque la confianza en la vigilancia privada.

Empresa Tecnológica Flock Safety

Lo que comenzó como una herramienta para "hacer el mundo más seguro" se ha transformado en un catálogo abierto de vulnerabilidades que cualquier persona con una antena y algo de curiosidad puede explotar.

El Incidente: Vandalismo en la Nube y Control Total

Recientemente, un atacante (bajo el alias de "The Gibson") logró acceder a los paneles de control de las cámaras Condor de Flock Safety. A diferencia de un hackeo tradicional que busca robar dinero, este fue un acto de vandalismo digital con un mensaje claro: "Su seguridad es una ilusión".

  • Acceso a Feeds en Vivo: El atacante demostró que podía observar en tiempo real lo que la policía veía, eliminando la barrera entre la vigilancia estatal y el acceso público no autorizado.

  • Alteración de Datos: Se reportó que nombres de cámaras fueron cambiados y, en algunos casos, registros de placas detectadas fueron eliminados, lo que podría invalidar procesos judiciales por falta de integridad en la evidencia.

  • Exposición en la Open Internet: Investigaciones de tecnólogos como Benn Jordan revelaron que muchas de estas cámaras estaban transmitiendo directamente a internet sin cifrado ni contraseñas robustas.

¿Por qué es tan fácil hackear una cámara policial?

La investigación técnica revela fallos que parecen sacados de una guía de "lo que no se debe hacer" en ciberseguridad:

  1. Software Obsoleto: Se descubrió que muchas unidades operan con versiones de Android 8, un sistema que no recibe parches de seguridad desde 2021 y que es vulnerable a exploits conocidos de escalada de privilegios.

  2. Credenciales en Texto Plano: La transmisión de datos se realizaba, en muchos nodos, sin cifrado HTTPS, permitiendo ataques de "Man-in-the-Middle" (intercepción de datos).

  3. Botones de Acceso Físico: Increíblemente, algunas cámaras tienen una secuencia de botones físicos en la parte posterior que, al ser presionados, activan un punto de acceso Wi-Fi abierto, permitiendo que cualquiera con una escalera tome control total del dispositivo.

El Efecto Dominó en la Privacidad (Caso México)

Aunque estos incidentes ocurrieron en EE. UU., la tecnología de ALPR es el pilar de los sistemas C5 y C4 en México. La tendencia de "Surveillance as a Service" (vigilancia como servicio) significa que los gobiernos locales no son dueños de la tecnología, sino que la alquilan a empresas privadas.

Si una empresa como Flock Safety puede ser vulnerada, ¿qué garantiza que los sistemas de videovigilancia en ciudades como CDMX o Monterrey no estén exponiendo datos similares? El riesgo no es solo que te "vean", es que agencias externas (como el ICE en EE. UU. o grupos de inteligencia no autorizados) accedan a estos datos sin el consentimiento de las autoridades locales o de los ciudadanos.

Insight de Experto: El "Pecado Original" de las Startups de Seguridad

Aquí está la idea contraintuitiva: Una empresa de seguridad que crece demasiado rápido es intrínsecamente menos segura. Flock Safety se enfocó en la expansión agresiva (instalando miles de cámaras por mes) antes de perfeccionar la arquitectura de seguridad de su hardware.

Esto crea lo que llamamos "Deuda de Seguridad". Cuando una ciudad firma un contrato con estas plataformas, no solo está instalando cámaras; está heredando todas las vulnerabilidades de una startup que prioriza los datos sobre la integridad del dispositivo. La verdadera ciberseguridad en el ámbito público requiere auditorías externas de código abierto y no depender de la "seguridad por oscuridad" de un proveedor privado.

¿Cómo saber si tu ciudad está en riesgo?

Varios municipios ya han comenzado a pausar sus contratos con Flock debido a estos hallazgos. Como ciudadano o experto en TI, puedes:

  • Exigir transparencia sobre los tiempos de retención de datos (cuánto tiempo guardan la foto de tu placa).

  • Solicitar auditorías de penetración física en el hardware instalado en la vía pública.

  • Monitorear si los datos de tu ciudad se comparten con agencias federales o terceros sin una orden judicial previa.

SecAlly
Anterior

El Blindaje Roto: El Impacto de la Filtración de Chronus Team en la Policía de San Pedro Garza García (SPGG)
Siguiente

Ciber-Inteligencia en el Crimen Organizado: La Red de Especialistas del CJNG