- Acceso no autorizado a 1,1 millones de dispositivos en más de 100 países.
- Vulnerabilidad crítica en la infraestructura cloud y la aplicación CloudEdge.
- Afecta a más de 300 marcas blancas que utilizan el hardware de Meari.
- Riesgo grave de privacidad, especialmente en el uso de vigilabebés domésticos.
La seguridad en el hogar ha recibido un golpe durísimo tras descubrirse que un volumen masivo de cámaras de vigilancia estaban abiertas al mundo. Un experto en ciberseguridad, Sammy Azdoufal, puso al descubierto que 1,1 millones de dispositivos eran accesibles para cualquier persona con unos conocimientos técnicos mínimos, sin necesidad de ejecutar ataques complejos.
Lo más preocupante de este asunto es que el fallo no se limitaba a un modelo concreto, sino que residía en la propia arquitectura de la empresa Meari Technologies. Al analizar su aplicación para Android, el investigador halló una llave maestra que permitía entrar en transmisiones en vivo de hogares repartidos por 118 países, incluyendo imágenes íntimas de habitaciones infantiles.
El problema de las marcas blancas y CloudEdge
Meari funciona como un fabricante invisible que produce hardware para decenas de marcas que luego vemos en tiendas como Amazon. Esto significa que mucha gente tiene una de estas cámaras sin saber que el cerebro del aparato es de Meari. Se estima que más de 300 marcas se han visto afectadas por este agujero de seguridad.
Para saber si un dispositivo está en riesgo, el dato clave es la aplicación móvil. Si el usuario utiliza la app CloudEdge para ver sus vídeos, su equipo forma parte de la plataforma comprometida, independientemente del nombre que aparezca en la caja del producto, afectando a marcas como Arenti, ieGeek o Petcube, entre otras.
Una cadena de errores imperdonables
La investigación reveló que no fue un simple descuido, sino una serie de fallos graves acumulados. Por un lado, el sistema de mensajería MQTT no tenía las protecciones básicas, lo que permitía monitorizar la actividad en tiempo real de miles de cámaras desde una sola cuenta gratuita.
Además, se detectaron otras negligencias que dejan mal cuerpo: el uso de contraseñas por defecto como «admin», imágenes de alertas guardadas en servidores de Alibaba sin ningún control de acceso y un servidor interno expuesto donde cualquiera podía ver los datos de los empleados de la empresa.
Reacción de la empresa y soluciones
La gestión de Meari ante el problema fue, cuanto menos, curiosa. En lugar de agradecer el aviso, el investigador afirma que la compañía llegó a amenazarle antes de decidirse a parchear el sistema. Finalmente, cedieron ante la presión pública, cerraron los accesos vulnerables y lanzaron actualizaciones de firmware.
Si tienes una de estas cámaras, lo más sensato es actualizar el software a la última versión disponible y cambiar inmediatamente cualquier clave que venga de fábrica. Si la desconfianza es demasiada, quizá sea el momento de pasarse a fabricantes con un historial de seguridad más transparente y sólido.
Este incidente pone de relieve el peligro de los dispositivos IoT baratos donde se prioriza la rapidez de lanzamiento sobre la privacidad. La falta de aislamiento entre marcas y el uso de tokens estáticos en las apps han convertido la seguridad de miles de familias en un juego de azar, recordando que una mala elección de fabricante puede abrir la puerta de casa a desconocidos.