El caso de espionaje de cámaras Web en el Distrito Escolar de Lower Merion, cerca de Filadelfia, ha suscitado preocupación en cuanto a si otras personas con cámaras Web son vulnerables al espionaje remoto. El distrito escolar admitió haber activado las cámaras web 42 veces durante un período de 14 meses, alegando que lo hizo solo para rastrear laptops perdidas o robadas.

Pero para cualquier persona con una cámara web (y las cámaras web ahora están integradas en muchas computadoras portátiles y de escritorio), la pregunta es si es vulnerable a tener su cámara Web encendida de forma remota. La respuesta es sí, aunque la versión más reciente del software utilizado por el distrito para monitorear sus computadoras ya no se puede usar para activar cámaras web o incluso rastrear computadoras robadas.

Según Phil Hayes, estudiante de Harriton High School, los funcionarios del Distrito Escolar de Lower Merion utilizaron un programa llamado LANRev para administrar y rastrear las computadoras portátiles Macintosh emitidas a los estudiantes. El producto fue publicado por Pole Position Software, que fue adquirido el año pasado por Absolute Software, con sede en Vancouver, Columbia Británica. Un portavoz de Absolute Software verificó que también tenía entendido que la escuela utilizaba el software LANRev.

The Philadelphia Inquirer informó que Mike Perbix, un técnico de redes del distrito, había grabado un Webcast donde habló sobre su uso de LANRev. En un video de YouTube atribuido a Perbix, dice: «En realidad, he tenido algunas computadoras portátiles que pensamos que habían sido robadas, que en realidad estaban todavía en un aula porque estaban fuera de lugar, y para cuando nos enteramos de que estaban de vuelta, tuve que desactivar el rastreo y tuve unas buenas 20 instantáneas del maestro y los estudiantes usando las máquinas en el aula.»

En una parte de la transmisión web (no en el video de YouTube), Perbix dice: «Puedes entrar en modo cortina, por lo que si estás controlando la máquina de alguien y no quieres que vea lo que estás haciendo, simplemente haz clic en el icono del modo cortina…puede tomar una instantánea de la pantalla haciendo clic en el pequeño icono de la cámara. Desplácese hacia abajo hasta el final de este post para escuchar un extracto de audio de 28 segundos del Webcast, en el que Perbix habla del «modo cortina».»

El blog Stryde Hax tiene más detalles sobre las actividades reportadas por Perbix.

Los usuarios finales ya no pueden rastrear máquinas
Absolute ha cambiado el nombre del programa a Absolute Manager y lo comercializará para la administración remota de PC, Mac y iPhones, pero el producto ya no se utilizará para la recuperación de robos o pérdidas. Para esas funciones, Absolute ofrece Computrace para clientes empresariales (incluidas las escuelas) y LoJack para computadoras portátiles para consumidores.

A diferencia de LANRev, los productos actuales de recuperación de robo de Absolute no pueden ser activados por los usuarios finales, según Stephen Midgley, Vicepresidente de Marketing Global. Entrevisté a Midgley por teléfono desde su oficina en Vancouver.

Los productos Computrace y LoJack se pueden usar para encender una cámara web y fotografiar al usuario en caso de investigación de robo. Pero a diferencia del antiguo LANRev, solo los ingenieros absolutos pueden rastrear dispositivos y activar funciones de recuperación. La política de la compañía, según Midgley, les prohíbe hacer eso hasta que se presente un informe policial. «Para comenzar un proceso de recuperación de robo, necesitamos un expediente de la policía», dijo.

Dos de los métodos de recuperación son el rastreo de ubicación por GPS y el protocolo de Internet. Absolute rastrea la ubicación de los dispositivos cada 24 horas, pero una vez que se informa de un dispositivo robado, aumenta a una vez cada 15 minutos, según Midgley. «Eso nos permite identificar la ubicación del dispositivo…luego proporcionamos los detalles a las fuerzas de seguridad locales, que luego entran y recuperan el dispositivo.»Midgely dijo que el equipo de recuperación está compuesto por ex agentes de la ley y que la compañía tiene relaciones con más de 1,000 agencias de la ley en toda América del Norte.

Midgley dijo que la compañía no suele usar fotografías con cámara web, incluso si está disponible. «La fotografía no siempre toma una foto del criminal, y no siempre es permisible en un tribunal», dijo. A menudo, la persona que es fotografiada usando la computadora portátil no es la persona que la robó. En el momento en que se ha informado, el portátil se ha vendido, y la persona que lo usa no es la misma persona que lo robó, «así que tomar una fotografía de ellos realmente no demuestra ningún valor. En ese caso, no es una fotografía del criminal. Realmente no ayuda a averiguar la ubicación del dispositivo», dijo.

Otras formas de controlar las cámaras web
Sin embargo, hay otras formas de encender de forma remota la cámara web de un portátil. Por un lado, hay muchos programas legítimos en el mercado que se utilizan para controlar las «cámaras para niñeras» o cámaras web utilizadas en casas de vacaciones y otros lugares remotos. Si alguien tiene acceso físico a una computadora, sería posible instalar este software y encenderlo de forma remota.

También hay programas como GoToMyPC que están diseñados específicamente para permitir a los usuarios controlar de forma remota una máquina a través de Internet. Una vez conectado, la persona tiene control remoto completo sobre la computadora host, incluida la cámara web, el micrófono y otras funciones.

Para estar seguro de que GoToMyPC se puede usar para este propósito, descargué una copia en un portátil y accedí a ella desde mi PC de escritorio a través de Internet y luego utilicé mi PC de escritorio para activar la cámara en el portátil. Para ser justos, GoToMyPC coloca un aviso en la máquina controlada a distancia que indica que hay una sesión en curso, pero ese aviso se puede retirar inmediatamente del equipo remoto.

Necesita acceso físico a un equipo para instalar GoToMyPC, pero no es raro que las víctimas de acoso a veces se encuentren en la misma ubicación que el acosador.

El malware puede activar la cámara web
También hay caballos de troya y otros programas de malware que se pueden usar para tomar el control remoto de una computadora. Según Mike Geide, investigador sénior de seguridad de la empresa de seguridad en la nube Zscaler, » hay varios kits de exploits que incluyen la funcionalidad de rootkit que permite a las personas interactuar con el sistema operativo como quieran, y que incluye activar servicios específicos o ejecutar aplicaciones en segundo plano que incluirían aplicaciones para reportar cámaras web, grabar audio o encender un micrófono interno incorporado.»

Geide recientemente blogueó sobre un sitio web del gobierno chino que había sido hackeado para publicar malware para utilizar una vulnerabilidad de Internet Explorer 6 para plantar Backdoor: W32 / Hupigon que, de acuerdo con F-Secure, es «una utilidad de administración remota que evita los mecanismos de seguridad normales para controlar secretamente un programa, computadora o red» y «permite grabar con la cámara web del usuario».»

El director de educación de TrendMicro, David Perry, hizo hincapié en la importancia de estar al tanto de las vulnerabilidades. «Sería un servicio público, si pudiéramos hacer que el público sea más consciente de que cuando conectas algo como una cámara web a tu sistema, hacerlo seguro es tu responsabilidad», dijo Perry. «Por defecto, es inseguro.»

En octubre de 2008, TGDaily informó sobre un » juego «que podría» inducir a error a la gente a hacer clic en un enlace que luego puede controlar remotamente la cámara web y el micrófono del usuario.»Este video de YouTube muestra una prueba de concepto de un juego simple que podría hacer que un usuario encienda la cámara remota para un atacante.

Si bien el software de seguridad puede protegerlo contra gran parte del malware, no necesariamente puede protegerlo contra el uso indebido de programas legítimos diseñados para habilitar remotamente una cámara web u operar remotamente un PC. Para ello, el usuario debe ser consciente de lo que se está ejecutando en la máquina. Si bien un usuario sofisticado de PC o Mac puede ser lo suficientemente inteligente como para determinar si hay programas de control remoto que se ejecutan en sus sistemas, hay muchas personas que no tendrían ni idea.

Hablé con un estudiante de Harriton que dijo que algunos estudiantes están empleando una solución de muy baja tecnología para bloquear sus cámaras web: están pegando cinta negra sobre la lente. Ahora todo lo que tienen que hacer es averiguar cómo desactivar el micrófono.

Haga clic a continuación para escuchar una parte de 28 segundos del Webcast de Mike Perbix, donde habla sobre «modo cortina».»Audio tomado de un Webcast más largo descargado de MacEnterprise.org.