Ciberataques a grabador de cámaras DAHUA

Todos los dispositivos conectados a internet tienen riesgo de ciberataques. De hecho, las cámaras de vigilancia Dahua y muchas cámaras ip de videovigilancia sufren ataques periódicos mediante hackeos a los grabadores Dahua.

Cómo evitar ciberataques a cámaras de seguridad Dahua

Fundamentalmente, el hecho de que no se puede acceder a las cámaras Dahua está ocasionado por la imprudencia de mantener contraseñas muy débiles.  De esta manera, el ciberataque consigue dejar el grabador bloqueado e impide la visualización de las cámaras de vigilancia. Así, la seguridad del negocio, hogar, almacén o garaje queda comprometida y puede llegar a tener consecuencias mayores. En estas líneas vamos a incluir todas las sugerencias, consejos y recomendaciones que el fabricante y otros expertos indican para prevenir estos ataques al software dahua. En primer lugar,  hay dos reglas de oro para minimizar los ataques a grabadores Dahua:

• Usar contraseñas fuertes
• Actualizar el firmware del fabricante periódicamente

Pero además, existen otras 16 medidas básicas adicionales para fortalecer la seguridad de nuestro sistema de videovigilancia con acceso a través de internet.

1. Cambiar las contraseñas regularmente
2. Cambia los puertos predeterminados HTTP y TCP
3. Habilita HTTPS / SSL
4. Habilita el filtro de IP
5. Cambia la contraseña de ONVIF
6. Reenvía sólo los puertos que necesitas
7. Deshabilita el inicio de sesión automático en SmartPSS
8. Usa un nombre de usuario y contraseña diferente para SmartPSS
9. Limita las características de las cuentas de invitado
10. Deshabilita UPNP
11. Deshabilita SNMP
12. Desactiva la opción de Multidifusión
13. Verifica el Registro
14. Bloquea físicamente el acceso al grabador
15. Conecta las cámaras IP a los puertos PoE en la parte posterior de un NVR
16. Aísla la red NVR y cámara IP

Primera regla de oro: Usar contraseñas fuertes

Los piratas de internet aprovechan esta debilidad de seguridad tan común para bloquear los videograbadores Dahua. Aunque parece evidente que el uso de contraseñas débiles o por defecto, muchos usuarios obvian esta regla fundamental.  De esta manera, el fabricante de cámaras Dahua recomienda usar contraseñas seguras como acción obligatoria de ciberseguridad. Para ello, una contraseña fuerte contra ciberataques debe contener 8 caracteres combinando mayúsculas, minúsculas, números y caracteres especiales. Aunque Dahua no permite cambiar los nombres de usuario predeterminados del grabador DVR o NVR, si puedes modificar las contraseñas. De este modo, debes cambiar todas las contraseñas débiles de todas las cuentas para maximizar la seguridad de las imágenes en tu grabador Dahua. Esta regla de oro para evitar ciberataque implica que tu clave sencilla debe cumplir los siguientes requisitos para hacerla una contraseña segura:

1. Debe tener al menos 8 caracteres
2. Uno de esos caracteres debe ser una letra mayúscula
3. Al menos debes incluir una letra minúscula
4. Debe contener un número como mínimo
5. Añade obligatoriamente un símbolo.

Por ejemplo, una contraseña segura válida podría ser C3po*6A? Para ello, debes acceder al icono de Sistema (System) y seleccionar Cuenta (Account) en la parte izquierda del menú. A continuación hacer clic sobre el nombre de usuario (User name) que quieres cambiar. Luego marcar la casilla de modificar la contraseña (Modify Password) e introducir la vieja contraseña (Old Password) y la nueva contraseña (New Password). Recuerda que esta contraseña segura debe seguir los pasos anteriores conteniendo, al menos, ocho caracteres. Por último, debes verificar la nueva contraseña, introduciendola de nuevo en el espacio de confirmar contraseña (Confirm Password) y guardar (Save).

Segunda regla de oro: Actualizar firmware periódicamente

El fabricante tecnológico Dahua recomienda actualizar periódicamente cualquier grabador NVR, DVR de su marca, así como sus cámaras IP Dahua. Así, al actualizar el firmware se mejora la ciberseguridad porque estos programas informáticos evitan un grabador bloqueado por software malintencionado volcado en la red. Esta actualización mediante el firmware de software Dahua contiene parches y correcciones de seguridad que evitan los ciberataques. De esta manera, el fabricante recomienda verificar la versión de firmware de tu producto y obtener, en todo caso, una versión actualizada si tu videograbador o cámara Dahua tiene un firmware con más de 18 meses desde su lanzamiento. Para actualizar el firmware a través de una unidad flash USB es necesario descargar el Firmware en esta unidad. Luego, debes insertar este USB en el puerto del grabador Dahua. En ese momento, el DVR o NVR pedirá la opción de actualización (System upgrade) y debes marcar empezar (Start). A continuación debes buscar el firmware abriendo la carpeta contenedora y seleccionando el archivo firmware. Una vez finalizado el proceso, el videograbador se reinicializará y contará, de esta manera, con un dispositivo más seguro frente a riesgos cibernéticos. Las siguiente medidas básicas adicionales son recomendaciones que el fabricante de cámara ip Dahua recomienda para evitar problemas de seguridad en red con sus dispositivos. Para ello sugieren la conveniencia de seguir las siguientes normas para evitar ciberataques:

1. Cambiar las contraseñas regularmente 

Tienes que asegurarte de que tu contraseña es segura siempre. Para ello, además de cumplir los requisitos de las contraseñas fuertes indicados más arriba, debes cambiar de forma periódica la contraseña. De esta forma, si modificas las claves de acceso para todos los usuarios de forma regular, por ejemplo, todos los meses, contribuyes a que sólo ellos puedan acceder al sistema. Así, evitaras ciberataques a tu dispositivo Dahua, impidiendo tener el grabador bloqueado cuando haya ataques a la seguridad en la red.

2. Cambia los puertos predeterminados HTTP y TCP

Los puertos HTTP y TCP  son los puertos utilizados  por los dispositivos Dahua para comunicarse y visualizar las transmisiones de vídeo de forma remota. Estos puertos están configurados por defecto en 37777 y 80, pero pueden modificarse para aumentar la seguridad. De esta forma, al cambiar los puertos HTTP y TCP entre cualquier número entre 1025 y 65535 se reduce el riesgo de descifrar los puertos que se están utilizando. Así, es posible eludir que otras personas puedan acceder de forma remota a los grabadores, mejorando la seguridad de las cámaras de vigilancia Dahua.

3. Habilita HTTPS / SSL

Para encriptar todas las comunicaciones entre el videograbador Dahua y el resto de dispositivos debes configurar un certificado SSL para habilitar HTTPS. De esta manera, si inicias sesión a través de HTTPS sale alguno de estos diálogos avisando sobre el certificado, deberás seguir los siguiente pasos:

1. El certificado es para otra dirección. Debes seguir los Pasos 1-5.
2. El certificado no es de confianza. Debes seguir los Pasos 1-4 y luego 6-11
3. El certificado ha expirado o no es válido. Debes seguir los Pasos 1-4 y 6-11.

Paso 1: Inicia sesión en el NVR a través del navegador Internet Explorer. Paso 2: Selecciona configuración (Setting) Paso 3: Selecciona red (Network) Paso 4: Selecciona red HTTPS en la columna de la izquierda. Luego seleccione "Crear certificado de servidor" (Create Server Certificate) y rellena los espacios con los códigos adecuados de país, estado, ubicación (ciudad), el nombre de su organización o empresa, el nombre del departamento y la IP o nombre de dominio con el que desea operar. Esta información es la que se utilizará para crear el certificado de autorización SSL.

Paso 5.  Selecciona descargar certificado raíz (Download Root Certificate), luego haz clic en abrir (Open) cuando aparezca el mensaje emergente. Paso 6. Haz clic en instalar certificado (Install Certificate) Paso 7. Haz clic en siguiente (Next). Paso 8. Ahora debes cliquear sobre siguiente, a menos desees almacenar el certificado en otra carpeta. Paso 9. Haz clic en finalizar (Finish). Paso 10. Saldrá un mensaje emergente de aviso de importación satisfactoria  (The import was successful). Paso 11. Tras instalar el certificado de seguridad debes ir a la página HTTPS y permitir la solicitud de seguridad. debe haber una solicitud de seguridad, haga clic en Sí.

4. Habilita el filtro de IP

Al habilitar el filtro de IP evitarás que todos, excepto aquellos con direcciones IP específicas, accedan al sistema. Puedes agregar hasta un máximo de 64 direcciones IP.  Después de habilitar la función de sitios confiables, solo la IP introducida puede acceder al NVR. Si habilitas la función de sitios bloqueados, las direcciones IP que introduzcas no puedan acceder al grabador.

5. Cambiar la contraseña de ONVIF

En el caso de que tengas una cámara de vigilancia Dahua necesitarás actualizar el firmware de la cámara a la última versión o cambiar manualmente la contraseña de ONVIF. Para ello, puedes acceder a través del grabador NVR y cambiar la contraseña ONVIF siguiendo las siguientes etapas:

1. Iniciar sesión en ONVIF Device Manager.
2. Selecciona el dispositivo del que vas a modificar la contraseña.
3. Hacer clic en "Gestión de usuarios".
4. Elige el Usuario y después cliquea sobre Modificar.
5. Elige un nombre de usuario nuevo y su contraseña.
6. Selecciona un rol para el Nombre de usuario y la Contraseña que has creado.
7. Haz clic en "Aplicar" para guardar.

6. Reenvía sólo los puertos que necesitas

El reenvío de puertos es una función de los enrutadores de red que permite al usuario configurar puertos de comunicación específicos para conectarse a dispositivos en una red IP (Protocolo de Internet), como una computadora, DVR o cámara IP. En este caso, para equipos de CCTV, permite al usuario ver y controlar equipos de CCTV de forma remota.   Para configurar el reenvío de puertos debes iniciar sesión en la puerta de enlace y crear reglas de reenvío de puerto. Por lo general, sólo tendrá que reenviar el HTTP y el puerto TCP. Después puede ir a la página CanYouSeeMe.org, que es una herramienta de verificación de puertos abiertos y comprobar si está abierto o cerrado. Esta utilidad gratuita es muy útil para los usuarios que desean comprobar el reenvío de puertos y verificar si un servidor se está ejecutando o si un firewall está bloqueando ciertos puertos. Los puertos más comúnmente bloqueados son el puerto 80 y el puerto 25. El puerto 80 es el puerto predeterminado para el tráfico HTTP. El puerto 25 es el puerto predeterminado para enviar y recibir correo.

7. Deshabilita el inicio de sesión automático en SmartPSS

Si estás usando el software Dahua para conectarse a tus equipos desde ordenadores y ese pc es usado por varias personas, debes asegurarte de que el inicio de sesión automático está desactivado. El software Dahua SmartPSS sirve para conectarse a los grabadores DVR y NVRs Dahua así como a cámaras ip Dahua. Para mejorar la seguridad de tu red es aconsejable evitar que otros usuarios sin credenciales puedan acceder al sistema de videovigilancia. Para ello, debes deshabilitar el inicio de sesión automático del programa SmartPSS.

8. Usa un nombre de usuario y contraseña diferente para SmartPSS

Usar un nombre de usuario y contraseña diferente para el acceso al Software Dahua SmartPSS hará que sea más difícil para cualquiera adivinar la clave de tu sistema de seguridad. Los expertos recomiendan, de este modo, usar contraseñas distintas para el programa SmartPSS de acceso al CCTV y otras contraseñas que uses en redes sociales, correo electrónico o clave de acceso al ordenador.

9. Limita las características de las cuentas de invitados

Si tu sistema está configurado para múltiples usuarios, debes asegurarte de que cada usuario sólo tiene derechos sobre las características y funciones concretas que tú habilites.

 

10. Deshabilita UPnP  

El protocolo Universal Plug and Play (UPnP) que permite la comunicación entre aplicaciones mediante la conexión en red local o internet puede dejar las contraseñas predeterminadas. De esta manera, puedes tener visitantes no deseados. Para evitar el reenvío automático de los puertos HTTP y TCP al router o módem, debes desactivar esta característica UPnP, para ello desde el menú del grabador Dahua debes seleccionar Redes y ahí seleccionar la opción Deshabilitar (Disable) UPnP. Después debes clicar “Apply” y darle a guardar “Save”.

11. Deshabilita SNMP

El SNMP (Simple Network Managemet Protocol) es un protocolo estándar de Internet que permite recopilar y organizar información sobre dispositivos administrados en redes IP. Para aumentar la protección frente a ciberataques a grabadores Dahua debes deshabilitar la opción SNMP si no la estásusando. De cualquier modo, sólo debe usar SNMP de forma ocasional para hacer pruebas y volver a desactivarlo una vez haya terminado.

12. Desactiva la opción de Multidifusión

La Multidifusión se utiliza para compartir secuencias de vídeo entre dos grabadores. Actualmente no hay problemas conocidos que involucren la multidifusión, pero si no estás utilizando esta característica, la desactivación puede mejorar la seguridad de las  redes.

13. Verifica el Registro

Si sospechas que alguien ha obtenido acceso no autorizado a tu sistema de vigilancia, puedes averiguarlo verificando el registro del sistema. Este registro del sistema te mostrará qué direcciones IP se usaron para iniciar sesión en el sistema y a qué se accedió. Para ello, desde el Menú principal, ve a Información (Info) y desde allí entra en Registro (Log)  es. La interfaz se muestra de la siguiente manera: Selecciona el tipo de registro y luego configura la hora de inicio /finalización. Después, haz clic en el botón buscar (Search), donde se muestra la hora del registro y la información del evento. De nuevo, haz clic para ver la información de registro detallada. Puedes seleccionar los elementos del registro que deseas guardar y luego hagas clic en el botón de copia de seguridad, seleccionando una carpeta para guardarlos. Por último, cliquea sobre Iniciar para hacer una copia de seguridad y podrás ver el cuadro de diálogo correspondiente una vez que el proceso haya finalizado. Tips: ✅ Para ver la información detallada del registro puedes hacer doble clic en cualquier elemento del registro. ✅ El sistema muestra 100 registros en una página. ✅ Puedes guardar hasta 1.024 archivos de registro. ✅ Utiliza el botón de página arriba/abajo en el interfaz o en el panel frontal para ver más.

14. Bloquea físicamente el acceso al grabador

Para evitar el acceso físico no autorizado al sistema la mejor manera es situar el grabador Dahua en una caja de seguridad. Puedes también bloquear el rack del servidor o instalarlo en una habitación protegida con llave.

15. Conecta las cámaras IP a los puertos PoE en la parte posterior de un NVR

Las cámaras conectadas a los puertos PoE en la parte posterior de un NVR están aisladas del mundo exterior y no se puede acceder directamente a ellas.

16. Aísla la red NVR y cámara IP

La red de tus cámaras IP y grabador Dahua no debe ser la misma que tu red informática pública. De esta manera, evitarás que visitantes o invitados no deseados tengan acceso a la red del sistema de seguridad.

---

Seguir los anteriores procedimientos y consejos puede evitar los ataques a grabadores y a cualquier cámara Dahua desde internet. Además, debes saber que algunos grabadores son inmunes a este tipo de ataques desde internet. Desde aquí te recomendamos nuestros grabadores Safire, como el DVR híbrido Safire Galenite. Estos grabadores de cámaras de vigilancia son invulnerables a los ciberataques gracias, por ejemplo, a los procedimientos implementados de fábrica que bloquean el uso de contraseñas por defecto.