Lo que la detención de un pederasta en Benidorm enseña sobre cómo proteger las cámaras domésticas
Evitar los dispositivos de vigilancia en baños o dormitorios, cambiar la contraseña que viene de serie o conectarse por VPN si se accede desde fuera de casa son algunas de las medidas de seguridad básicas
La detención el mes pasado de un presunto pederasta británico en Benidorm ha revelado la facilidad para acceder a imágenes a través de las cámaras domésticas. El arrestado tenía en su piso bases de datos con modelos de cámaras domésticas de seguridad y cientos de miles de números de serie. Según la policía, había reunido más de mil vídeos de 70 familias de todo el mundo. Todos eran con contenido sexual, con menores desnudos. “Lo que nos lleva a una conclusión clara: si tenía eso, en realidad había accedido a mucho más y luego los había seleccionado”, dice Israel Díaz, inspector del Grupo Primero de Protección del Menor de la Policía, que llevó el caso.
No era la primera vez que se le arrestaba por hechos similares. La primera aún era menor. Según Díaz, el detenido “tiene un perfil tecnológico más alto de lo habitual”. “Los delincuentes en este mundo suelen enmascararse bien, pero este además era ofensivo, capaz de llegar a nuevos hogares y gente para dar con nuevas imágenes”, añade. Sin embargo, aunque estén en entornos privados, la inquietante realidad es que el acceso a muchas de estas cámaras es sencillo. También lo es protegerse tomando unas medidas de seguridad elementales.
Muchas de estas cámaras son como un ordenador rudimentario abierto a internet. Igual que una madre de viaje puede ver en su móvil cómo duerme su hijo en casa, sin una instalación adecuada, cualquiera pueda acceder a esas imágenes. No es necesario un profundo conocimiento técnico, aunque sí bastante tiempo libre, según Martín Vigo, fundador de la consultoría de ciberseguridad Triskel Security. “No creo que haya hackeado las cámaras, sino que conocerá los tres o cuatro modelos de cámaras más comunes que tienen nombre y contraseña por defecto, sabrá en qué página y qué buscar exactamente y habrá ido probando esas contraseñas. Aunque incluso a veces están abiertas”, explica.
Es como tener varias llaves maestras, que están en foros de internet, para ir probando en miles de puertas. Los propietarios que no hayan cambiado la cerradura que venía de serie dejan la puerta accesible a quien tenga la llave. Lo único que el intruso debe hacer es comprobar el modelo y el número de serie y ver si su llave funciona. Una vez dentro, solo debe ver si esa cámara o conjunto de cámaras ofrecen algo interesante. Si no, a por la siguiente.
Es un proceso tan sencillo que varias páginas web ofrecen el contenido automatizado. EL PAÍS ha visitado un par de estas páginas, que ofrecen imágenes en abierto de cientos, miles de cámaras públicas y privadas. Están divididas por país o ciudad, modelos y marcas. Este periódico no revela los nombres de las páginas más visitadas para no facilitar su promoción, pero no son un secreto para nadie, ni están escondidas. En búsquedas de unos minutos, EL PAÍS ha visto pasillos oscuros, garajes, supermercados y naves industriales con sus trabajadores activos, porches y terrazas privadas con piscinas, señoras escribiendo en el ordenador y durmiendo en su cama o camareros atendiendo bares.
¿Cómo evitar que un pederasta tenga acceso a las partes más íntimas de nuestras vidas? El método más sencillo es no poner cámaras en lugares como baños o dormitorios, dice el oficial de Policía y analista forense en la Unidad Central de Ciberdelincuencia Manuel Guerra. “Si debes de tener una cámara en el dormitorio o cuarto de baño, que solo sea accesible en la red local, cuando estoy conectado en la wifi de casa”, dice. Es decir, que solo se pueda acceder a ella desde el interior de la vivienda. A partir de ahí, con las cámaras no conectadas a la red local sino a internet, es cuando el riesgo se multiplica. Y los recursos para asegurar la privacidad son más complejos.
Los requisitos mínimos de seguridad para las cámaras domésticas, por tanto, serían cambiar las credenciales (nombre y contraseña), hacer que la cámara sea accesible solo localmente y, si se quiere acceder desde fuera de casa, que se haga mediante una VPN, que es un túnel virtual que conecta un dispositivo con la red de una casa, como el que utilizan las empresas para permitir el trabajo en remoto. También habría que cambiar la contraseña del router para que no sea fácil acceder a la red local. Y aún así no se alcanzaría la seguridad perfecta, según Vigo, porque hay circunstancias que el usuario no puede controlar. “En el caso de los servicios en la nube es una empresa ajena la que almacena las imágenes, lo que supone un objetivo ideal para los delincuentes, porque se guardan datos de miles de cámaras”, explica.
Y eso aún no es todo. Si las cámaras estén conectadas solo a la red local, también hay maneras de colarse. Pero es mucho más difícil: el conocimiento técnico que debe tener el atacante es mayor. No es imposible, sin embargo. Además de tutoriales para acceder a cámaras domésticas, la Policía encontró en el ordenador del pederasta programas para entrar sin permiso a otros ordenadores y capturar sus contraseñas o archivos.
La Policía y el Ministerio del Interior ―que tiene como objetivo estratégico la prevención y la difusión de cultura de la ciberseguridad― son conscientes de este panorama inquietante y están dispuestos a ayudar. La Academia de Policía de Ávila y la Universidad de Salamanca preparan para septiembre unos módulos de formación gratis y abiertos al público para usuarios con un nivel básico en la segunda edición de la Ciberwall Academy, donde colabora Manuel Guerra. Uno de los primeros módulos será sobre cómo asegurar el entorno personal y profesional. “Necesitas implicación y corresponsabilidad porque no puedes poner un policía en cada dispositivo. El usuario debe saber qué tiene entre manos y se puede conseguir si a cambio le das una formación, que es nuestro fuerte”, dice Casimiro Nevado, inspector de Policía y coordinador de la cita.
Más allá de las cámaras domésticas
La obtención de tal cantidad de imágenes inéditas mediante cámaras domésticas no es habitual. Aunque no era la primera vez que la Policía veía imágenes de estas cámaras en un presunto delito de pederastia. Pero el detenido tenía una habilidad digital aún más depurada: era capaz de editar imágenes de niños vestidos y desnudarlos. “Producía su propia pornografía infantil con programas de edición de imagen. A veces estas ediciones son burdas pero en este caso parecían reales. Su objetivo era tener nueva pornografía infantil”, explica Díaz.
Esos desnudos “retocados” pueden hacerse con programas como Photoshop, pero hay software accesible en repositorios online que permite automatizar ese proceso con inteligencia artificial. La empresa especializada en deepfakes Sensity investigó hace unos meses un bot en Telegram que “desnudaba” fotos de chicas. Un usuario mandaba una foto y el programa la devolvía sin ropa, con un cuerpo creado a partir de una base de datos de miles de desnudos. “En nuestra investigación del bot de Telegram pudimos recuperar los archivos usados para generar las imágenes del bot”, dice Giorgio Patrini, fundador de Sensity. “Encontramos más de 100.000 imágenes, casi todas de mujeres, aunque una pequeña fracción mostraba partes del cuerpo de menores ‘desnudados’. Desgraciadamente la aplicación de desnudos deepfake con menores no es hipotética y es absolutamente posible que estén ocurriendo incidentes”, añade.
El tercer método usado por el pederasta para obtener imágenes nuevas era el acoso online: contactar con víctimas a través de redes sociales u ofreciendo clases de inglés. “Hay que tener en cuenta que esta investigación se realiza durante el confinamiento”, dice el inspector Díaz, “con lo que aumentó su actividad en internet”. Pero no parece que limitara completamente su actividad real. “Cuando acabó el confinamiento le empezamos a seguir. Hemos identificado una menor a la que dio clase: mete un teléfono móvil para ver la ropa interior de la niña. Es una vida dedicada a obtener imágenes de menores”, añade.
A pesar de este salto a la vida real, la vida criminal de este pederasta transcurría casi permanentemente ante las dos grandes pantallas de ordenador que tenía en casa. Recibía encargos para acosar o encontrar imágenes de víctimas concretas por parte de adultos que conocían a esos menores. Por ese tipo de fotos cobraba 80 dólares, según la Policía, que ha encontrado 11 víctimas de acoso en todo el mundo. Al ser nativo inglés una de sus coartadas era dar clases.
El pedófilo usaba el navegador Tor para contactar y vender material en la llamada dark web (web oscura). “En Tor están los pederastas más dedicados. Hablamos de gente muy interesada en tener lo último, lo más abyecto. Esos son los que pagan”, dice Díaz. Allí es donde le detectaron por primera vez y donde la Policía pudo seguirle el rastro a pesar de sus precauciones y cambios de nombre. Una de sus precauciones era no conservar en el ordenador ninguna de sus contraseñas ni correos, que la Policía encontró en papelitos o a veces hojas de libretas repartidos por la casa. Así se salvaba del hackeo a distancia, pero si entraban en su casa estaba todo a la vista.
En los foros presumía de sus habilidades y de que la Policía nunca le atraparía de nuevo. Fanfarroneaba de que al salir le habían devuelto material legal. La operación fue bautizada como Belial, demonio de origen hebreo vinculado a la arrogancia, en su honor. Díaz no cree que lograra vivir solo de esta labor. Era también camarero y la Policía cree que el comercio de imágenes ilegales no le daba suficientes ingresos para vivir. En su monedero de Bitcoin tenía unos pocos miles de euros.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.