Estos timbres de video tienen una seguridad terrible, pero aun así Amazon los vende
Estos dispositivos también se venden en Walmart, Sears y otras tiendas, y los grandes distribuidores han sufrido pocas consecuencias por enviar productos defectuosos.
Actualización: El artículo se publicó originalmente el 29 de febrero de 2024. Se actualizó el 15 de marzo de 2024 para reflejar la información proporcionada por Eken después de la publicación. (Esa información aparece en cursiva a continuación.) En abril, CR confirmó que Eden había solucionado los problemas que habíamos encontrado.
Un jueves por la tarde, una periodista de Consumer Reports recibió un correo electrónico con una imagen de baja resolución de ella misma saludando a una cámara de timbre que había instalado en la puerta trasera de su casa.
Si el mensaje hubiera venido de un completo desconocido, hubiera sido alarmante. En cambio, lo envió Steve Blair, un ingeniero de pruebas de seguridad y privacidad de CR que había pirateado el timbre desde 2,923 millas de distancia.
Blair había obtenido imágenes similares de timbres conectados en las casas de otros empleados de CR y de un dispositivo de nuestro laboratorio de pruebas en Yonkers, Nueva York. Aunque esperábamos que consiguiera acceder a estos dispositivos, fue impactante ver fotos de la terraza y el patio trasero de la periodista. Después de todo, se supone que los timbres de video sirven para vigilar a los extraños que llaman a tu puerta, no para que otras personas te vigilen a ti.
Blair pudo capturar esas imágenes porque él y su compañero, David Della Rocca, ingeniero de pruebas, habían encontrado graves fallas de seguridad en este timbre, junto con otros que se venden bajo marcas diferentes, pero que al parecer son del mismo fabricante. Los timbres carecen también de una identificación visible emitida por la Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés), exigida por la normativa de la agencia, lo que hace ilegal su distribución en los Estados Unidos. (El fabricante de timbres, Eken, no respondió a las preguntas antes de la publicación del artículo, pero se puso en contacto con CR después y afirmó que en aproximadamente un mes estarían disponibles nuevos paquetes con identificadores).
Miles de estos timbres se venden cada mes en Amazon y otros mercados en línea, como Walmart, Sears y las plataformas mundialmente populares como Shein y Temu. Los expertos dicen que no son más que una gota en la avalancha de productos electrónicos baratos e inseguros de fabricantes chinos que se venden en los Estados Unidos.
Anteriormente, los reguladores habían afirmado que miles de productos inseguros, entre ellos ropa de dormir infantil potencialmente peligrosa, detectores de monóxido de carbono y suplementos dietéticos, estaban disponibles en Amazon.
“Las grandes plataformas de comercio electrónico como Amazon deben asumir una mayor responsabilidad por los daños generados por los productos que venden”, afirma Justin Brookman, director de política tecnológica de Consumer Reports. “Hay más cosas que podrían estar haciendo para investigar a los vendedores y responder a las quejas. En lugar de eso, parece que se aprovechan de su reputación para venderle a los consumidores productos de mala calidad o defectuosos”.
Photo: Consumer Reports Photo: Consumer Reports
Peligro en la puerta
Blair y Della Rocca descubrieron los problemas mientras evaluaban una serie de timbres de video para nuestro programa habitual de calificaciones. Se vendían bajo dos marcas, Eken y Tuck.
Los dos dispositivos llamaron la atención no solo por los problemas de seguridad, sino porque parecían idénticos, hasta por la caja blanca en la que venían, a pesar de tener marcas diferentes. Las búsquedas en línea revelaron rápidamente la existencia de al menos 10 timbres de video aparentemente idénticos que se vendían bajo distintas marcas, todos controlados a través de la misma aplicación móvil, llamada Aiwit, que es propiedad de Eken.
Compramos dos de estos productos, de las marcas Fishbot y Rakeblue, y encontramos las mismas vulnerabilidades.
Los problemas de seguridad son graves. Las personas amenazadas por un acosador o una pareja abusiva de la que se han separado a veces son espiadas a través de sus teléfonos, plataformas en línea y dispositivos inteligentes conectados a la red. Las vulnerabilidades detectadas por CR podrían permitir a una persona peligrosa tomar el control del timbre de video de la casa de su ex pareja, vigilando sus entradas y salidas y las de los miembros de su familia.
“Productos como estos, al no dar prioridad a la confianza y la seguridad, ponen en peligro a las víctimas de violencia doméstica. Sin lugar a dudas, el único lugar donde una víctima necesita estar segura es en su casa”, dice Adam Dodge, director general de EndTAB, una organización sin fines de lucro que ofrece información sobre cómo combatir el abuso relacionado con la tecnología. “Los dispositivos diseñados para hacer que alguien se sienta seguro en casa, pero que en realidad están haciendo lo contrario, no deberían permitirse en el mercado”.
Consumer Reports intentó comunicarse con representantes de las compañías Eken y Tuck para advertirles de los problemas, con la esperanza de que los solucionaran antes de informar públicamente sobre ellos. Sin embargo, no hemos recibido respuestas.
(Tras la publicación, Eken se puso en contacto con CR y, en una conversación posterior, afirmó que estaba abordando las conclusiones de CR. “Eken cuenta con un equipo de investigación y desarrollo especializado y un proceso de investigación y desarrollo sólido y exhaustivo para garantizar la protección de la privacidad y la seguridad de nuestros consumidores”, afirmó la empresa en una declaración enviada por correo electrónico. CR evaluará los cambios introducidos por la empresa una vez que hayan llegado a los consumidores).
En primer lugar, estos timbres permiten que la dirección IP y el nombre de la red de WiFi de tu casa sean visibles en internet sin ningún tipo de codificación, lo que puede abrir tu red doméstica a criminales en línea. Los expertos en seguridad temen que haya más problemas, como la falta de seguridad en los servidores de la empresa donde se almacenan los videos.
“El hecho de que no utilicen una codificación de seguridad es alarmante”, dice Beau Woods, investigador de seguridad digital del grupo de defensa de la ciberseguridad I Am The Calvary. “Esto indica que puede haber una serie de malas prácticas”.
Los timbres de video representan una amenaza especial para las personas que están en peligro ante personas que saben dónde viven.
Cualquier persona que pueda acceder de forma física a uno de los timbres puede tomar el control del dispositivo, sin necesidad de herramientas ni sofisticados conocimientos de piratería. Imaginemos que un ex novio abusivo quiere vigilar los movimientos de su ex pareja y sus hijos. Solo tendría que crear una cuenta en la aplicación Aiwit para teléfonos inteligentes, ir a la casa de su ex pareja y mantener presionado el botón del timbre para sincronizarlo. Después podría conectar el timbre a un punto de acceso a WiFi y tomar el control del dispositivo.
Como nuevo “propietario” del dispositivo, ahora puede vigilar quién entra y sale, y cuándo lo hacen.
Además, puede ver el número de serie del dispositivo. Eso es peligroso debido a los deficientes sistemas de seguridad de la empresa.
Cuando el acosador sincroniza el dispositivo con su teléfono, el propietario original recibe un correo electrónico en el que se le informa que ya no tiene acceso al dispositivo. Eso puede parecer un pequeño problema tecnológico que podría resolverse volviendo a sincronizar el dispositivo con su propio teléfono, recuperando el control.
Pero una vez que el acosador tiene el número de serie, puede seguir teniendo acceso de forma remota a las imágenes fijas de video. (La periodista de CR le dio el número de serie a Blair para que pudiera acceder de forma remota a su cámara). No se necesita contraseña, ni siquiera tener una cuenta con la empresa, y no se envía ninguna notificación al propietario del timbre.
En nuestro escenario, el actor peligroso seguirá viendo fotos con fecha y hora de todas las personas que entran y salen. Y si decide compartir ese número de serie con otras personas, o incluso publicarlo en línea, todas esas personas también podrán tener acceso a las imágenes.
“Desgraciadamente, los datos personales que no están encriptados en el tráfico de la red no son inusuales en los dispositivos conectados a la red, pero me sorprendió encontrar un agujero de seguridad tan grande que permitía a completos desconocidos recopilar libremente imágenes de vídeo que son privadas”, dice Blair. “La falta de controles básicos de acceso contradice los principios fundamentales de seguridad de la información. Es alarmante”.
Diversas marcas, un dispositivo defectuoso
Eken, Tuck y las otras marcas que hemos visto no son las más reconocidas en el mercado de timbres de video, pero son fuertes vendedores. Los timbres aparecen en varios anuncios de Amazon: encontramos ocho para el timbre con video de Eken y tres para la versión de Tuck del producto. Estos anuncios generaron más de 4,200 ventas solo en enero de 2024.
También encontramos estos timbres a la venta en Walmart.com, Sears.com y en las plataformas de venta internacionales, Shein y Temu. Y hay timbres de vídeo aparentemente idénticos disponibles en más marcas. Walmart.com, por ejemplo, los vende bajo los nombres de Andoe, Gemee y Luckwolf.
“La gran variedad de marcas, dispositivos, versiones y vendedores puede dificultar enormemente a los compradores” encontrar productos seguros y confiables, afirma Woods. “También aumenta el nivel de dificultad para quienes intentan sacar dispositivos inseguros o ilegales de estos mercados”.
Además de contactar a Eken y Tuck, Consumer Reports también le informó a Amazon, Walmart, Sears, Shein y Temu lo que habíamos encontrado.
Source: Manufacturers Source: Manufacturers
Temu dijo en un comunicado enviado por correo electrónico que estaba revisando los hallazgos de CR y que había detenido las ventas en su sitio web de todos los timbres de video que utilizaban la aplicación Aiwit y fabricados por Eken - pero timbres de aspecto similar, si no idénticos, permanecían en el sitio web. Walmart le dijo a CR por correo electrónico que espera que los productos vendidos en su plataforma “sean seguros, confiables y cumplan nuestras normas y todos los requisitos legales. Los artículos que no cumplan con estas normas o requisitos serán removidos de inmediato del sitio web y permanecerán bloqueados”.
Amazon, Sears y Shein no respondieron a las preguntas de los periodistas de CR.
A finales de enero de 2024, la mayoría de los productos que encontramos en línea todavía estaban disponibles para la venta en los sitios web de los minoristas.
Además de las vulnerabilidades de seguridad, los evaluadores de CR observaron que los timbres carecían de los identificadores de la FCC que se supone deben ser visibles para los consumidores. Estos códigos permiten buscar un producto en una base de datos de la FCC para comprobar que ha sido sometido a pruebas y garantizar que no cause interferencias de radio perjudiciales con otros aparatos electrónicos ni supere los límites de radiofrecuencia seguros para la salud humana.
Hemos encontrado en línea registros de la FCC de algunos de los dispositivos, y es posible que todos hayan sido probados adecuadamente. Sin embargo, sin identificaciones visibles, su venta en los Estados Unidos es ilegal, según las normas publicadas por la FCC. La agencia no hizo comentarios directamente sobre nuestros hallazgos. (Tras la publicación, Eken notificó a CR que añadiría los identificadores a sus productos para que “los identificadores de la FCC se muestren correctamente en los nuevos paquetes de los productos”).
Amazon proporciona un enlace en cada listado de productos para alertar a la empresa de artículos problemáticos. Utilizamos el enlace para informarles de la falta de identificación de la FCC del timbre de video de la marca Tuck, pero días después seguía disponible.
Investigación y desarrollo, rápido y barato
En los últimos meses, los timbres de video de Eken y Tuck han llevado a menudo el sello distintivo de “Amazon’s Choice: Overall pick”. Los distintivos aparecieron incluso después de que CR alertara a Amazon de los problemas de seguridad.
Para muchos compradores, el sello de “Amazon’s Choice” podría dar a entender que Amazon había elegido deliberadamente ese timbre de video para mantenerlo disponible en su inventario, y lo estaba promocionando por su calidad. Pero las cosas no funcionan así.
Source: Amazon Source: Amazon
Al igual que seis de cada 10 artículos vendidos en Amazon.com, los productos de Eken se venden por una empresa independiente, y Amazon suele encargarse de servicios de almacenamiento, envío y devoluciones. Cualquiera puede vender casi cualquier cosa en Amazon, y la empresa obtuvo aproximadamente $140,000 millones en ingresos procedentes de las ventas realizadas por terceros en 2023.
Esto le permite a los compradores encontrar una amplia gama de productos, pero también puede dificultar saber qué se está comprando y quién lo vende.
Las diez marcas de timbres de video, así como la aplicación Aiwit, parecen ser propiedad de una empresa que lleva 18 años en el mercado llamada Eken Group Ltd., con sede en Shenzhen, China. La empresa también tiene una oficina en el sur de California, en un apartamento de Temple City.
(Eken no respondió a las preguntas de CR sobre sus timbres con video antes de la publicación del artículo. Después de la publicación, la empresa le dijo a CR que fabrica timbres con video bajo su propia marca, y también fabrica timbres de etiqueta blanca para marcas de propiedad independiente).
Eken no respondió a las preguntas de CR sobre sus timbres de video. Sin embargo, para muchas empresas tecnológicas chinas, vender hardware barato bajo múltiples marcas puede aumentar las ventas en una categoría de producto que es muy popular, hasta que deja de serlo, según Andrew Huang, un destacado ingeniero y experto en software, quien lleva el nombre Bunnie, y es autor de “The Essential Guide to Electronics in Shenzhen”. En ese momento, dice Huang, la empresa cambiará de producto y pasará a la siguiente gran novedad.
“En el mercado de las cámaras de seguridad, una marca no es más que una marca; piensa que es más bien una agencia de publicidad que puede hacer un poco de producción y diseño para crear un producto específico y atractivo, pero que no van mucho más allá de eso”, afirma. “No tienen mucho inventario y aparecen y desaparecen, siguiendo las tendencias de los mercados de productos primarios”.
Para crear sus productos, estas empresas pueden tomar un diseño de referencia de una empresa de semiconductores o chips que fabrica los cerebros de los dispositivos electrónicos, comprar los componentes electrónicos que necesita a fábricas vecinas, fabricar una cubierta de plástico barata y después ensamblar el producto final.
Huang dice que algunas empresas chinas pueden crear un nuevo dispositivo electrónico en tan solo dos semanas.
Sin embargo, ese tipo de productos rápidos y baratos descuida aspectos críticos de seguridad cibernética, según Steve Hanna, responsable de estrategia de seguridad y tecnología de IoT en Infineon Technologies, una empresa de semiconductores.
“Siempre se da el caso de que fabricar un producto más seguro cuesta más”, afirma, pero para muchas empresas de IoT de bajo costo, hay pocos incentivos económicos para incluir la seguridad como prioridad, ya que pasa desapercibida para la mayoría de los consumidores.
Si Amazon no ha examinado estos productos, ¿por qué reciben el distintivo de “Amazon’s Choice”? Según las preguntas frecuentes de la empresa, la designación se basa en las “calificaciones, el precio, la popularidad, la disponibilidad del producto y la rapidez de entrega”. Se generan automáticamente mediante un algoritmo y pueden aparecer de repente y desaparecer con la misma rapidez.
Lo que pueden hacer los consumidores
Si tienes uno de estos timbres de video, Consumer Reports recomienda que lo desconectes de la red de WiFi de tu casa y lo retires de la puerta. CR ha evaluado timbres de video con mucha mejor seguridad de marcas como Logitech, SimpliSafe y Ring, que en realidad es propiedad de Amazon.
En términos más generales, no asumas que las grandes plataformas en línea han evaluado la seguridad de todos los productos que venden. Agencias federales y periodistas han denunciado a lo largo de los años diversos productos peligrosos o ilegales a la venta en Amazon.
Si compraste productos defectuosos en una tienda local, ésta podría ser responsable de los daños y las multas, pero en anteriores procedimientos legales, Amazon ha argumentado que no es responsable de los artículos vendidos por terceros en su plataforma, ya que para esos vendedores solo actúa como una empresa de logística. La Comisión de Seguridad de Productos del Consumidor de los Estados Unidos no está de acuerdo y se ha enfrentado a Amazon por este asunto en el pasado. Está considerando una orden que clasificaría oficialmente al mercado como “distribuidor de productos” con las responsabilidades de las tiendas minoristas convencionales, según informa The Wall Street Journal, Si se aprueba esta orden, decisiones similares podrían afectar a otros mercados en línea,
Mientras tanto, Consumer Reports pide a las tiendas minoristas en línea que tomen medidas para garantizar la calidad de los productos disponibles en sus plataformas. CR también ha abogado por una legislación que haga a plataformas en línea estrictamente responsables de la venta de productos defectuosos, y ha impulsado leyes que dejen claro que los minoristas tienen que tomar medidas razonables para evitar la venta de productos dañinos, fraudulentos o inseguros en sus plataformas.
Compartimos nuestros hallazgos sobre los timbres con video con la Comisión Federal de Comercio, quien tiene el poder de retirar productos como estos del mercado. La agencia se negó a comentar sobre qué medidas podría tomar, señalando que sus investigaciones son privadas. (Tras la publicación, el comisionado de la FCC, Geoffrey Starks, envió cartas a las tiendas citadas en este artículo preguntándoles qué medidas tomaban para garantizar que los productos que venden se ajusten a la normativa de la FCC).
“Las autoridades reguladoras tienen que hacer más para hacer frente a la proliferación de basura que hay allí”, dice Brookman. “Eso significa tomar acciones en contra de los fabricantes, pero también de las plataformas que los venden, y al parecer incluso de quienes explícitamente los recomiendan”.