Ciberseguridad en cámaras IP: VLAN, hardening y actualizaciones

Respuesta directa

Una cámara IP mal configurada es una puerta abierta a tu red corporativa. Las cinco capas mínimas para una instalación segura son: (1) contraseñas únicas y MFA en NVR/VMS, (2) VLAN dedicada para cámaras sin acceso a la red ofimática, (3) firmware actualizado en cada cámara y en el NVR, (4) acceso remoto vía VPN o plataforma del fabricante con autenticación robusta, sin abrir puertos al exterior, y (5) logs de acceso revisados periódicamente.

Por qué las cámaras IP son objetivo

Las cámaras IP profesionales son computadores. Tienen sistema operativo, procesador, almacenamiento y conexión a red. Cuando llegan de fábrica vienen con configuraciones por defecto: usuario admin, password 12345 o admin, puertos abiertos, telnet habilitado, firmware viejo.

Sumar 30 cámaras así a tu red es sumar 30 puntos de entrada potencial. Botnets como Mirai infectaron millones de cámaras justamente porque nadie cambió la contraseña por defecto. Una cámara comprometida puede:

• Servir de pivote para entrar a la red corporativa.
• Filtrar video.
• Ser usada en ataques DDoS contra terceros.
• Borrar grabaciones críticas justo antes de un incidente.

La buena noticia: las cinco capas básicas cierran el 95% de los vectores.

Capa 1 — Identidades y MFA

• Cambiar contraseñas por defecto en cada cámara durante la instalación. No después, no “cuando tengamos tiempo”.
• Contraseñas únicas por equipo, gestionadas en un password manager (1Password, Bitwarden, Keeper). No reutilizar.
• MFA obligatorio en NVR/VMS y en cualquier acceso administrativo.
• Cuentas con privilegio mínimo: el operador de turno no necesita ser admin. Crear perfiles con permisos por área.
• Onboarding y offboarding documentado. Cuando alguien sale de la empresa, su acceso se revoca el mismo día.

Capa 2 — Segmentación de red (VLAN)

Esta es la capa que más se omite y la que más protege.

Las cámaras deben vivir en su propia VLAN dedicada que:

• No tiene acceso directo a la red ofimática.
• No tiene acceso a internet salvo lo estrictamente necesario (actualizaciones de firmware en ventanas controladas).
• Solo permite tráfico entrante desde el NVR/VMS y desde estaciones de gestión específicas.
• Tiene firewall entre VLAN cámaras y resto de la red.

Esto se hace en cualquier switch administrable (Mikrotik, Ubiquiti, Cisco, HPE Aruba). Si tu instalador usa switches no administrables y mete todo en la misma red, falta una capa crítica.

Capa 3 — Firmware actualizado

El firmware es el software interno de la cámara. Los fabricantes publican parches que corrigen vulnerabilidades conocidas. Una cámara con firmware de hace 3 años tiene CVEs públicas que cualquiera puede explotar.

Política recomendada:
– Revisar firmware disponible cada trimestre.
– Aplicar parches críticos en cuanto se publican.
– Mantener un registro de versión por equipo.
– Validar el firmware en una cámara de prueba antes del despliegue masivo (algunas actualizaciones rompen configuraciones existentes).

En un plan de mantención profesional esto está incluido.

Capa 4 — Acceso remoto seguro

El error clásico: abrir el puerto 80 o 8000 del NVR al exterior para “verlo desde casa”. Esto expone el sistema completo a internet.

Alternativas correctas:

1. Plataforma del fabricante (Dahua DMSS, Hikvision Hik-Connect, Axis Companion). Túneles propietarios, sin abrir puertos. Activar MFA si lo ofrecen.
2. VPN corporativa (WireGuard, OpenVPN). El usuario se conecta a la VPN y desde ahí accede al NVR como si estuviera en la red local.
3. VMS con acceso web cifrado (HTTPS, MFA) detrás de un proxy reverso, no expuesto directo.

Cualquiera de las tres es válida. Lo que nunca debe hacerse: mapear puertos del router directo al NVR sin capa de protección.

Capa 5 — Logs y monitoreo

Tener todo lo anterior y nunca revisar los logs es perder visibilidad.

• Configurar el NVR/VMS para registrar accesos, descargas de video y cambios de configuración.
• Revisar logs al menos mensualmente. Alerta si hay accesos fuera de horario o desde IPs no reconocidas.
• Mantener los logs por 90 días o más.
• En empresas que lo requieran, exportar logs a un SIEM corporativo.

Hardening: 10 acciones concretas

Checklist técnico que debe estar hecho al finalizar cualquier instalación profesional:

1. Cambiar contraseña por defecto en cada cámara y NVR.
2. Crear cuentas individuales por usuario; eliminar la cuenta “admin” genérica si el equipo lo permite.
3. Activar MFA en el NVR/VMS.
4. Deshabilitar protocolos inseguros: Telnet, FTP, UPnP, SNMPv1.
5. Configurar HTTPS en NVR y panel web de cámaras.
6. Aplicar segmentación VLAN.
7. Bloquear acceso a internet desde la VLAN de cámaras (salvo NTP y servidor de updates).
8. Actualizar firmware a la última versión estable.
9. Configurar acceso remoto vía VPN o plataforma del fabricante con MFA.
10. Documentar todo en una hoja de hardening con fecha, responsable y versión.

Errores frecuentes que vemos en proyectos heredados

• Contraseña por defecto en cámaras nuevas instaladas hace 6 meses.
• NVR expuesto a internet con puertos 80/8000 abiertos.
• Una sola cuenta admin compartida por 5 personas.
• Cámaras y ofimática en la misma red plana.
• Firmware sin actualizar desde la instalación.
• Sin logs ni monitoreo.
• Acceso remoto vía DDNS sin autenticación robusta.

Si tu sistema tiene 3+ de estos, conviene una auditoría.

Cómo Branner securiza cada instalación

Cada proyecto pasa por un checklist de hardening obligatorio antes de la entrega:

• Configuración de contraseñas únicas + gestor.
• Diseño de red con VLAN dedicada y firewall.
• Firmware al día.
• Acceso remoto seguro con MFA.
• Documentación entregada al cliente con versión y fecha.
• Capacitación al equipo TI del cliente sobre el modelo de operación.

Y se mantiene en el plan de mantención con revisión trimestral de versiones.

Preguntas frecuentes

¿Una VPN sirve si tengo 50 cámaras?
Sí, las VPN modernas (WireGuard) manejan ese volumen sin problema. El tema es performance del cliente VPN, no del túnel.

¿Cómo sé si mi cámara tiene firmware vulnerable?
Buscando el modelo + “CVE” en el sitio del fabricante o en bases como NIST NVD. En proyectos profesionales el integrador lo monitorea.

¿Conviene comprar cámaras de marcas chicas?
Para B2B, casi nunca. Las marcas premium (Dahua, Hikvision, Axis, Bosch, Hanwha) publican parches; las marcas blancas suelen abandonarse y quedar sin soporte.

¿Y si tengo cámaras de bajo presupuesto que no acepta MFA?
Aíslalas todavía más: VLAN sin internet, contraseña fuerte, acceso solo desde el NVR. No las uses en zonas críticas.

¿Cuánto cuesta hacer un proyecto seguro vs uno “rápido”?
La diferencia es de 5% a 15% en obra inicial. La diferencia post-incidente puede ser de millones.

¿Tu sistema CCTV actual te preocupa desde la perspectiva de ciberseguridad? Hagamos una auditoría. Revisamos configuración, segmentación, firmware y acceso remoto, y te entregamos un plan de remediación priorizado.