AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Hikvision y Dahua: Restricciones en la Administración Pública pero Acceso Abierto en el Sector Privado

admin

Introducción

En el ecosistema actual de la ciberseguridad, la protección de infraestructuras críticas y la gestión segura de datos sensibles se han convertido en prioridades absolutas para los organismos gubernamentales de todo el mundo. Recientemente, la prohibición del uso de productos de videovigilancia fabricados por empresas chinas como Hikvision y Dahua en entidades gubernamentales ha generado un intenso debate técnico, tanto por su impacto en la gestión de riesgos como por las implicaciones para el sector privado y la seguridad nacional. Sin embargo, más allá de la restricción en el ámbito público, los productos de estos fabricantes continúan estando disponibles para particulares y empresas privadas, planteando importantes cuestiones de seguridad y cumplimiento normativo.

Contexto del Incidente o Vulnerabilidad

La decisión de restringir el uso de sistemas de videovigilancia de Hikvision y Dahua en organismos gubernamentales se enmarca en una serie de medidas impulsadas por Estados Unidos, Reino Unido, la Unión Europea y otros actores internacionales para limitar la dependencia tecnológica de proveedores considerados de riesgo. Las preocupaciones giran en torno a la posibilidad de que estas cámaras y sistemas de grabación contengan puertas traseras, vulnerabilidades no corregidas o funciones de acceso remoto que puedan ser explotadas para actividades de ciberespionaje o sabotaje.

Este movimiento se ha intensificado tras el descubrimiento de múltiples vulnerabilidades críticas (por ejemplo, CVE-2021-36260, con un CVSS de 9,8 en productos Hikvision), y tras informes de la CISA y el NIST que alertan sobre potenciales riesgos para la cadena de suministro. La inclusión de ambos fabricantes en listas negras de entidades, como la Federal Communications Commission (FCC) de EE.UU., refuerza la percepción de que la amenaza no es meramente teórica.

Detalles Técnicos

Las vulnerabilidades detectadas en dispositivos de Hikvision y Dahua han sido ampliamente documentadas en bases de datos como MITRE CVE y MITRE ATT&CK. Entre las más relevantes destaca la CVE-2021-36260, que afecta a una amplia gama de cámaras IP y grabadores NVR de Hikvision, permitiendo la ejecución remota de código mediante el envío de payloads especialmente diseñados a través de la interfaz web del dispositivo. Este vector de ataque (T1190 – Exploit Public-Facing Application, según MITRE ATT&CK) permite a un atacante tomar el control total del sistema afectado sin necesidad de autenticación previa.

Se han detectado exploits funcionales publicados en plataformas como Metasploit, permitiendo incluso a atacantes con conocimientos intermedios comprometer dispositivos expuestos en Internet. Además, el uso habitual de protocolos no cifrados (HTTP, RTSP sin TLS) y la presencia de credenciales por defecto amplifican el riesgo de intrusión. Indicadores de Compromiso (IoC) incluyen tráfico inusual hacia servidores externos, cambios no autorizados en la configuración del firmware y la presencia de shells remotos.

Impacto y Riesgos

El impacto potencial de estas vulnerabilidades es significativo: según estimaciones de Shodan, más de 1,3 millones de dispositivos Hikvision y Dahua permanecen accesibles en Internet a nivel mundial. Para la administración pública, el riesgo se multiplica debido a la naturaleza sensible de las imágenes y los datos gestionados. Un compromiso exitoso podría permitir la vigilancia encubierta, el movimiento lateral en redes internas, el acceso a sistemas críticos y la exfiltración de datos en violación del GDPR y la NIS2.

En el sector privado, la falta de regulación específica y la tendencia a priorizar el coste frente a la seguridad han derivado en una implantación masiva de estos sistemas, incluso en sectores estratégicos como energía, logística y salud. Las implicaciones económicas de un incidente de seguridad pueden superar los 4 millones de euros por brecha, según el último informe de IBM Security.

Medidas de Mitigación y Recomendaciones

Para los profesionales de ciberseguridad, las siguientes medidas son prioritarias:

– Inventariar y segmentar todos los dispositivos de videovigilancia, evitando la exposición directa a Internet.
– Aplicar de inmediato las actualizaciones de firmware proporcionadas por el fabricante.
– Cambiar credenciales por defecto y aplicar contraseñas robustas.
– Monitorizar el tráfico de red en busca de IoC y patrones anómalos.
– Implementar listas de control de acceso (ACL) y restringir la comunicación saliente.
– Considerar la sustitución de dispositivos de fabricantes señalados como riesgo en entornos críticos o sujetos a regulación (GDPR, NIS2).
– Realizar auditorías periódicas de seguridad sobre los dispositivos y su integración en la red corporativa.

Opinión de Expertos

Expertos del sector, como la European Union Agency for Cybersecurity (ENISA), recomiendan aplicar un enfoque de seguridad por diseño y adoptar soluciones de videovigilancia de fabricantes con procesos transparentes de gestión de vulnerabilidades. Asimismo, el CCN-CERT español enfatiza la importancia de revisar la procedencia y el ciclo de vida de los productos integrados en infraestructuras críticas, evitando soluciones procedentes de países con elevado riesgo geopolítico.

Implicaciones para Empresas y Usuarios

Mientras que la administración pública se ve obligada a adoptar medidas restrictivas, el sector privado y los ciudadanos siguen expuestos a riesgos similares si optan por estos productos sin un análisis de riesgos riguroso. Las empresas deben evaluar el impacto de la cadena de suministro en sus programas de cumplimiento y considerar la evolución de la legislación europea (NIS2, directrices de la AEPD) que podría extender en el futuro las restricciones al sector privado.

Conclusiones

La exclusión de Hikvision y Dahua de los entornos gubernamentales representa un avance importante en la gestión de riesgos sistémicos, pero la disponibilidad abierta de estos productos en el sector privado y entre particulares mantiene vigente la amenaza. Solo un enfoque integral, que combine medidas técnicas, concienciación y cumplimiento normativo, permitirá mitigar adecuadamente los riesgos asociados a la videovigilancia conectada.

(Fuente: www.darkreading.com)