Joan Balaguer. Director Comercial. Grupo Iptecno
Actualmente la palabra ciberseguridad ha dejado de ser una palabra de moda para ser un problema real para todos aquellos dispositivos que estén conectados a internet. La videovigilancia no es inmune a un posible ciberataque, pero aplicando una serie de medidas de protección y cambiando la configuración de los dispositivos conseguirá minimizar la posibilidad de sufrir un ataque hacker.
A continuación le proponemos una lista de cambios y configuraciones para hacer que su sistema sea más seguro y menos propicio a sufrir un posible ataque hacker.
1. Actualice el firmware de manera regular.
-Mantenga su grabador NVR, DVR y cámara IP constantemente actualizado con las últimas versiones de firmwares disponibles por sus respectivos fabricantes; seguramente estas actualizaciones ya incluyan mejoras y parches que protejan de este tipo de ataques.
2. Cambie la contraseña original y utilice contraseñas más seguras:
-Esta información no debería ser de dominio público, pero uno de los principales motivos por los que un sistema puede ser «hackeado» es porque no se le han cambiado las contraseñas originales que facilita el fabricante. Cualquier fabricante recomienda no utilizar nunca las contraseñas originales una vez instalado el dispositivo y escoger una contraseña lo más segura posible. Se considera una contraseña segura aquella que al menos dispone de 8 caracteres y usa una combinación de símbolos, números y letras mayúsculas y minúsculas.
3. Cambie la contraseña regularmente:
-Cambie de manera regular la contraseña de sus dispositivos, de este modo se asegurará que solo podrán acceder aquellas personas que conozcan la contraseña y puedan acceder de manera autorizada al sistema.
4. Desactive los servicios de conexión que no utilice:
-El sistema UPNP intenta establecer una serie de puertos por defecto entre el grabador y el router/modem, y estos puertos quedan abiertos directamente en el router o modem. Normalmente esto debería ser un sistema rápido y sencillo para instalar los dispositivos, pero si se mantienen las contraseñas originales, puede recibir un ataque o tener la visita de un visitante inesperado.
-Si asigna y abre manualmente los puertos HTTP y TCP en el router/modem, debería desactivar esta opción para hacer su sistema más seguro.
-Si no va a utilizar la conexión por P2P, desactive siempre esta función.
-Desactive la opción SNMP en su dispositivo si no la utiliza. Si utiliza una red SNMP, use esta opción sólo de manera puntual y actívela solo cuando tenga que hacer una prueba o rastreo del sistema.
5. Active la conexión HTTPS/SSL:
-Configure una conexión HTTPS en su dispositivo y cree un certificado SSL. Esto encriptará todas las comunicaciones entre las cámaras y grabadores.
6. Cambie la contraseña del ONVIF:
-Hay cámaras IP antiguas que solo disponen de protocolo de comunicación ONVIF y con las versiones antiguas de ONVIF no se podía cambiar la contraseña. Para este tipo de cámaras necesitará actualizar el firmware a la última versión disponible por el fabricante para actualizar la versión del ONVIF y poder cambiar la contraseña.
7. Habilite el Filtrado de IP:
-Si habilita el filtrado de IP, bloqueará todas las conexiones a su sistema, excepto a aquellas IP que tenga configuradas como autorizadas para acceder al sistema.
8. Desactive el Multicast:
-La opción de Multicast se utiliza para compartir el stream de video entre un grupo de dispositivos dentro de una red. Actualmente no hay ningún ataque hacker reconocido a través del Multicast, pero recomendamos que si no se usa, desactívelo.
9. Cambie los puertos HTTP y TCP que vienen por defecto:
-Cambie los puertos HTTP y TCP que vienen por defecto. Estos puertos son los más comunes para comunicar el dispositivo a internet.
-Estos puertos se pueden cambiar y puede usar el rango entre los números 1025-65535. Evitar los puertos predeterminados reduce el riesgo que alguien desde el exterior pueda adivinar qué puertos está utilizando.
10. Revise el Log de eventos:
-Si sospecha que alguien no autorizado se ha conectado a su sistema de seguridad, revise el log de eventos. El Log de eventos le mostrará la IP la cual se ha conectado o accedido a su sistema.
11. Conecte las cámaras IP POE directamente a los puertos POE del NVR:
-Si conecta las cámaras POE directamente al switch POE del grabador, éstas quedan aisladas del resto del mundo y no se podrá acceder a las cámaras de ninguna manera de forma externa. El switch POE actuará como un cortafuegos para las cámaras y evitará cualquier conexión.
12. Proteja físicamente el dispositivo:
-Si desea evitar un acceso no autorizado directamente en el grabador, la mejor manera de evitarlo es instalar el grabador dentro de un arcón, rack, caja fuerte ventilada, o habitación con cerradura.
13. Abra solo aquellos puertos que utilice:
-Abra solo los puertos HTTP y TCP que vaya a utilizar. No abra un rango de puertos a la IP de un dispositivo.
14. No utilice nunca la opción DMZ del router:
-No utilice la opción DMZ a la dirección IP del grabador, ya que esta suele ser uno de los principales métodos utilizado para piratear un grabador.
Si utiliza esta opción, está dejando el grabador totalmente expuesto a que cualquier hacker intente acceder a su sistema, por lo que no utilice nunca esta opción y abra solo aquellos puertos que necesite.
15. Desactive el inicio automático del software de gestión o navegador:
-Si está utilizando un ordenador conjuntamente con otras personas, asegúrese que la opción de auto-inicio de sesión del programa de gestión está desactivada; y asegúrese que no tiene activada la opción memorizar contraseña en su navegador, a fin de evitar que otro usuario del ordenador pueda acceder al sistema de seguridad.
16. Use nombre de usuario y contraseñas diferente para cada usuario en el software de gestión :
-Si alguien le piratea sus cuentas de redes sociales, sus datos bancarios, cuenta de correo electrónico, no querrá que utilicen los datos conseguidos para intentar acceder a su sistema de seguridad. Un nombre de usuario y contraseñas diferentes al resto de cuentas evitará que alguien pueda adivinar la manera rápida de acceder a su sistema.
17. Limite las características de los usuarios invitados:
-Si el sistema está configurado para varios usuarios, asegúrese de que cada usuario tiene una cuenta diferente que el resto y cada cuenta dispone de las funciones que debe realizar cada usuario.
18. Aísle la red del NVR y cámaras IP:
-La red en la que están instalados el grabador y las cámaras no debería ser la misma que la red informática. Una forma sencilla de conseguir esto es crear una VLAN. Esto evitará que los visitantes tengan acceso a la misma red que el sistema de seguridad.
