Especialistas en seguridad informática alertaron sobre el hallazgo de dos vulnerabilidades en las cámaras de vigilancia de la marca Dahua, que permiten evadir los mecanismos de autenticación en los dispositivos. Estas vulnerabilidades permiten a un atacante tomar control del dispositivo como una cámara, espiar y registrar el video.

Las fallas fueron identificadas como CVE-2021-33044 y CVE-2021-33045 y permiten a atacantes evadir la autenticación de identidad de los dispositivos durante el proceso de identificación de usuario y afectan a la mayoría de productos de la empresa china (hasta 1.2 millones de dispositivos alrededor del mundo).

Las vulnerabilidades fueron detectadas desde junio de 2021, por lo que algunas cámaras llevarían más de 3 meses vulnerables al acceso no autenticado. Dahua hizo un llamado a sus clientes a actualizar la última versión del firmware de sus dispositivos, por lo que se especula que muchos de estos seguirían siendo vulnerables.

Dahua es la empresa proveedora de las mil 300 cámaras utilizadas desde 2019 por el gobierno de Coahuila en el Sistema de Vídeo Vigilancia para la Seguridad, distribuidas en los municipios de Arteaga, Ramos Arizpe, Saltillo, Torreón y Matamoros con tecnología de reconocimiento facial.

No es la primera vez que la compañía presenta problemas de vulnerabilidades en sus productos. En 2019 se dio a conocer que las cámaras de videovigilancia tenían una “puerta trasera” que permitía a un atacante acceder al audio capturado por el dispositivo, aún si esta función se encontraba desactivada.

Además, la empresa Dahua fue sancionada por el Departamento de Comercio de Estados Unidos en 2019, por lo que la adquisición de sus productos quedó prohibida para las autoridades de dicho país. Sin embargo, una investigación de The Intercept encontró en julio de 2021 que varias agencias de EE.UU. siguen comprando productos manufacturados por Dahua que son comercializados bajo otras marcas.


Imagen de Alexandre Dulaunoy (CC BY-SA 2.0)