Ring Doorbell comienza a utilizar encripción p2p

Esteban Suárez

Ring Doorbell ha comenzado a tomar en serio la seguridad de sus usuarios y así lo demuestra al aplicar la seguridad P2P a las transmisiones tanto inalambricas como cableadas de sus dispositivos, este cambio se hace en consonancia para mitigar las fallas de seguridad que habían estado presentes desde el año 2019.

Trasfondo del asunto

Las imágenes de video de las cámaras de seguridad de Ring se almacenan en servicios en la nube. Estos videos no estaban encriptados, lo que permitía al personal acceder a las transmisiones en vivo y grabadas de las cámaras de los clientes en todo el mundo. Según se informa, la única información necesaria para obtener acceso era la dirección de correo electrónico del cliente.

Según The Intercept, los ingenieros y ejecutivos de Ring tienen “acceso altamente privilegiado” a las transmisiones de cámaras en vivo desde los dispositivos de los clientes. Esto incluye tanto los timbres que dan al mundo exterior como las cámaras dentro de la casa de una persona. Un equipo encargado de anotar videos para ayudar en el reconocimiento de objetos capturó a “personas besándose, disparando armas y robando”. [Actualización: según Ring, la anotación solo se realiza en “videos de Ring compartidos públicamente”.]

Los empleados de EE. UU. tenían acceso específicamente a un portal de video destinado a la asistencia técnica que, según se informa, permitía “transmisiones en vivo sin filtrar las 24 horas del día desde algunas cámaras de clientes”. Lo sorprendente es cómo esta herramienta de soporte aparentemente no estaba restringida solo a los empleados que trataban con los clientes […]

The Intercept señala que solo se requiere la dirección de correo electrónico de un cliente de Ring para acceder a cualquier transmisión en vivo […]

Mientras tanto, un segundo grupo de empleados de Ring que trabajaban en I+D en Ucrania tuvo acceso a una carpeta que albergaba “todos los vídeos creados por todas las cámaras Ring del mundo”. Además, estos empleados tenían una “base de datos correspondiente que vinculaba cada archivo de video específico con los clientes de Ring específicos correspondientes”.

Amazon, que adquirió Ring en 2018, despidió posteriormente a los empleados que abusaron de este acceso.

Sin embargo, este no fue el final, también surgieron preocupaciones cuando la policía pudo contactar en privado a los propietarios de Ring Doorbell para solicitar acceso a las imágenes de video.

Tal uso ha resultado controvertido, con preocupaciones planteadas de que las imágenes pueden incluir transeúntes no involucrados. El video de ellos puede terminar retenido indefinidamente en los sistemas policiales.

Amazon actualizó sus procesos para que, en el futuro, este tipo de solicitudes tuvieran que ser públicas.

Ring Doorbell aumenta la seguridad

Ring ofreció la opción de cifrado de extremo a extremo para sus timbres con cable, pero no para los inalámbricos. The Verge informa que esto ahora ha cambiado.

Ring ahora ofrece cifrado de extremo a extremo de video y audio en sus videoporteros y cámaras de seguridad que funcionan con baterías, más de un año después de que agregó la opción a sus dispositivos conectados y cableados. El cifrado de extremo a extremo permite a los usuarios de las cámaras de video de la compañía mantener sus imágenes bloqueadas, lo que las hace accesibles solo en su dispositivo iOS o Android registrado. Por separado, Ring también facilita el almacenamiento de videos grabados cuando un propietario vende o desecha un dispositivo Ring.

Con el cifrado de extremo a extremo habilitado, nadie más que el propietario de la cámara puede acceder a las imágenes grabadas. Incluso si las fuerzas del orden le pidieran a Ring, o a su empresa matriz Amazon, el video, no podrían proporcionarlo. Solo el dispositivo móvil registrado puede desbloquear el video.

El cifrado de extremo a extremo tiene inconvenientes

El cifrado de extremo a extremo es una configuración opcional, y el sitio señala que primero debe asegurarse de estar al tanto de las desventajas.

Con el cifrado de extremo a extremo activado, los usuarios pierden la capacidad de obtener una vista previa de los videos en la vista de la línea de tiempo de eventos de la aplicación Ring y en las notificaciones enriquecidas que muestran una instantánea de la acción en la notificación antes de abrir la aplicación.

Además, los usuarios compartidos de dispositivos Ring no pueden ver videos en sus dispositivos, y ningún usuario puede compartir videos desde la aplicación Ring o ver imágenes en dispositivos Echo Show o aplicaciones de terceros. El cifrado de extremo a extremo también desactiva Alexa Greetings y Quick Replies, donde un timbre de video Ring puede responder automáticamente a un visitante. Bird’s Eye View tampoco funcionará, una opción en algunas cámaras Ring que muestra el camino que ha seguido un visitante hasta el timbre o la cámara.