En la lucha contra el cibercrimen, todos los dispositivos conectados a la red juegan un papel crucial. Nuestra trayectoria de más de 25 años fabricando videograbadores nos ha enseñado a dominar los requisitos necesarios para prevenir ciberataques. En este artículo detallamos seis aspectos clave.
Te puede interesar: Videograbadores embarcados en aviones: tres requisitos básicos
1. El sistema operativo del videograbador ha de ser diferente a Windows
Windows es el programa más popular del mundo y está ampliamente utilizado en dispositivos NVR como arquitectura base del sistema. También es el objetivo principal de los desarrolladores de malware y virus debido a su amplia base de usuarios. Los videograbadores que no utilicen este sistema operativo:
- Están protegidos frente a los ataques más comunes y dañinos.
- No son necesarias actualizaciones continuas. Esto es importante porque el programa del CCTV que corra en Windows deberá actualizarse al tiempo que lo hace el sistema operativo, y esta sincronización no siempre es una realidad.
- Para acceder a videograbadores como los nuestros, un ciberdelincuente tendría que practicar la ingeniería inversa del sistema. Esto es, necesitaría todo un despliegue de medios y conseguir: el videograbador, las herramientas y conocimientos de desarrollador; y, no menos difícil, desencriptar el firmware.
2. El videograbador debe usar protocolos seguros
Elige videograbadores que, como los de Lanaccess, utilicen protocolos con un nivel de seguridad alto que actúen como una capa adicional de seguridad. Típicamente, estos son: HTTPS, FTPS y SSH.
- HTTPS (Hypertext Transfer Protocol Secure). Se usa para la transferencia de datos en la web. En videovigilancia, el protocolo cifra la comunicación entre la cámara y el videograbador.
- FTPS (File Transfer Protocol Secure). Se usa para la transferencia de archivos. El protocolo cifra los comandos y los datos transferidos entre la cámara y el videograbador.
- SSH (Secure Shell). Permite una comunicación segura y encriptada entre un cliente y un servidor remoto. En videovigilancia, el protocolo SSH se utiliza para administrar videograbadores de forma remota y acceder a ellos de manera segura a través de una conexión encriptada. Proporciona autenticación de clave y cifrado de extremo a extremo para garantizar la seguridad de la conexión y prevenir el acceso no autorizado.
Asimismo, los videograbadores deben usar protocolos propietarios encriptados que requieran autenticación para algunas solicitudes más delicadas, como extracción de vídeo y búsqueda forense.
Como es el caso de nuestros equipos, es crucial que el sistema bloquee temporalmente el acceso al videograbador en caso de varios intentos fallidos de acceso.
3. Diseñados para prevenir ataques DDoS
Un ataque de Denegación de Servicio Distribuido (DDoS, del inglés Distributed Denial of Service) es un tipo de ciberataque que tiene como objetivo saturar el videograbador con una gran cantidad de solicitudes ilegítimas con el objetivo de sobrecargarlo y hacerlo inaccesible para los usuarios legítimos.
Pregunta al fabricante de videograbadores si sus equipos, como los de Lanaccess:
- Detectan de forma automática los ataques: a puertos UDP no abiertos; a puertos TCP no abiertos; abriendo infinitos sockets contra el videograbador.
- Son capaces de bloquear la MAC del atacante.
4. Funciones de ‘firewall’
Para que los NVR actúen de cortafuegos, es necesario que, como los de Lanaccess, sólo tengan abiertos los puertos necesarios para comunicarse; por cada protocolo sea posible aceptar o bloquear los equipos con acceso al puerto (una sola máquina, un rango de red o todas las IP); el sistema esté protegido contra la carga de versiones:
- Con un firmware encriptado.
- Con un registro de los intentos fallidos de actualizar el firmware.
- Con la función de impedir la carga de una versión fantasma de firmware.
5. Videograbadores con ‘switch’ PoE interno
Es recomendable que las cámaras y otros dispositivos IP estén alimentados por PoE (Power over Ethernet). Elije el fabricante que, como Lanaccess, haya incorporado dentro de la arquitectura del propio equipo switches con funcionalidades avanzadas de gestión y control como: el reinicio remoto de dispositivos conectados; el monitoreo del consumo de energía; la programación de las cámaras; y la detección automática de dispositivos. Este último punto es crucial para la detección de sabotaje por sustitución de cámara (Grado 4).
Los switch PoE integrados al equipo tienen otra ventaja: los dispositivos con este conector harán uso de una red privada y, por tanto, estarán aislados de la red IP corporativa.
6. Política de gestión de usuarios restrictiva
Recomendamos que el videograbador tenga habilitado una serie de usuarios con permisos diferentes. Por ejemplo, Lanaccess establece de fábrica:
- Superusuarios, con acceso total al sistema. Este tipo está limitado a los administradores porque permite cambiar configuraciones.
- Usuarios con acceso exclusivo a vídeo.
- Usuarios con acceso exclusivo a grabaciones.
- Usuarios temporales, para técnicos con acceso restringido a ciertas operaciones.
En general, es recomendable usar el principio de privilegio mínimo, pensado para reducir el riesgo de brechas internas. Como principio, el sistema aplica un rol restrictivo de acceso por defecto, incluso si previamente el usuario ha sido autenticado y verificado en el sistema. Progresivamente, el administrador irá habilitando permisos en caso justificado.
Si quieres un videograbador que tenga todas las medidas de ciberseguridad mencionadas en este artículo, apuesta por los equipos de Lanaccess, fabricante español de videograbadores seguros desde hace más de 25 años.
