Las cámaras de vigilancia con IA de Flock estaban expuestas en internet. Nosotros mismos nos rastreamos

• Al menos 60 cámaras Condor PTZ impulsadas por IA de Flock estuvieron expuestas en internet en todo Estados Unidos sin contraseña
• En las cámaras expuestas era posible ver video en tiempo real, descargar 30 días de grabaciones, cambiar configuraciones y acceder a registros
• Las cámaras Condor están diseñadas para seguir rostros y movimientos de personas, no placas vehiculares, y cuentan con funciones de zoom y giro
• Los investigadores descubrieron esta exposición mediante el motor de búsqueda Shodan y, de hecho, pudieron identificar personas en parques, estacionamientos y ciclovías
• Este caso dejó en evidencia los riesgos de vigilancia no autorizada y exposición de datos personales en espacios públicos, y subraya la necesidad de gestionar mejor la seguridad de la infraestructura de vigilancia con IA

Estado de exposición de las cámaras Flock Condor

• Al menos 60 cámaras Condor PTZ con IA de Flock estaban abiertas en internet
  • Cualquiera podía ver video en vivo o descargar 30 días de grabaciones sin iniciar sesión
  • Al acceder al panel de administración era posible cambiar configuraciones, revisar archivos de registro y ejecutar diagnósticos
• El periodista se paró frente a una cámara en una intersección de Bakersfield, California, y confirmó la escena en la que su propia imagen se transmitía en tiempo real
  • Colegas que estaban a cientos de millas también vieron esa misma transmisión de forma remota

Funciones de las cámaras Condor y casos de grabación

• Condor es una cámara de seguimiento de personas con función pan-tilt-zoom (PTZ), distinta de las cámaras de Flock para reconocimiento de placas
  • Puede acercar automáticamente el rostro de una persona o seguirla mediante control manual
• Las cámaras expuestas estaban grabando personas en alta resolución en parques, estacionamientos, carreteras y áreas de juego
  • Se grabó a una mujer paseando a su perro en una ciclovía suburbana de Atlanta, a un hombre en el estacionamiento de Macy’s en Bakersfield, a niños en un área de juegos y a conductores esperando en semáforos
  • Un hombre que pasaba en patines por una ciclovía en Brookhaven, Georgia, fue captado de forma consecutiva por varias cámaras
  • La resolución del video era tan alta que incluso se podía identificar que el hombre estaba viendo un video de rollerblade en su celular

Cómo se descubrió la exposición

• El youtuber y experto en tecnología Benn Jordan detectó primero la exposición y la compartió con el investigador de seguridad Jon “GainSec” Gaines
  • Gaines ya había encontrado antes múltiples vulnerabilidades en las cámaras de reconocimiento automático de placas (ANPR) de Flock
• Ambos usaron el motor de búsqueda Shodan para encontrar cámaras con configuraciones de seguridad deficientes
• Para verificar la información que le proporcionaron, el periodista visitó personalmente los lugares y confirmó la ubicación de las cámaras mediante contratos municipales y materiales de presentación corporativa

Reacciones y preocupaciones de los investigadores

• Jordan señaló que podía ver “sin nombre de usuario ni contraseña” escenas de áreas de juegos, estacionamientos, compradores y todo lo demás
  • Dijo que sintió la gravedad del riesgo especialmente al ver video de áreas de juego con niños
• También demostró que, usando parte del material expuesto, podía identificar a una persona específica con herramientas de código abierto
  • El objetivo era mostrar el potencial de abuso de este tipo de exposición

Implicaciones para seguridad y privacidad

• La exposición de las cámaras de Flock dejó al descubierto la falta de gestión de seguridad en sistemas de vigilancia con IA
• Se confirmó el riesgo de que videos grabados en espacios públicos puedan ser publicados, almacenados o manipulados sin autorización
• Al operar infraestructura de vigilancia basada en IA, es indispensable reforzar el control de acceso y las medidas de protección de datos