Eufy emite un comunicado ante los últimos hallazgos de los investigadores de seguridad
Eufy, la marca de Anker de cámaras de seguridad, ha emitido un comunicado en respuesta a los recientes hallazgos de investigadores de seguridad.
En un hilo titulado «Re: Afirmaciones recientes de seguridad contra eufy Security», la compañía afirma que está «adoptando un nuevo enfoque de la seguridad doméstica», diseñado para operar localmente y «siempre que sea posible» evitar los servidores en la nube. Las grabaciones de vídeo, el reconocimiento facial y la biometría de identidad se gestionan en los dispositivos, «no en la nube».
Esta reiteración llega después de que en las últimas semanas se hayan planteado varias preguntas sobre las políticas de Eufy sobre uso de la nube. Un investigador de seguridad descubrió a finales de octubre que las alertas telefónicas enviadas desde Eufy se almacenaban en un servidor en la nube, aparentemente sin cifrar, con datos de identificación facial incluidos.
Eufy reconoció que utiliza servidores en la nube para almacenar imágenes en miniatura, y que mejoraría su redacción para que los clientes que quisieran alertas móviles lo supieran. La empresa no respondió a otras afirmaciones de los analistas de seguridad, como que se podía acceder a las secuencias de vídeo en directo a través de VLC Media Player con la URL adecuada, cuyo esquema de cifrado podría ser averiguado.
Eufy declaró que «discrepa rotundamente de las acusaciones vertidas contra la empresa en relación con la seguridad de nuestros productos».
La semana pasada, conocimos que la empresa había cambiado muchas de sus «promesas de seguridad» de su página de política de privacidad. La declaración de Eufy en sus propios foros llegó anoche.
Eufy afirma que su modelo de seguridad «nunca se ha intentado, y esperamos desafíos en el camino», pero que mantiene su compromiso con los clientes. La empresa reconoce que «se han hecho varias reclamaciones» contra su seguridad, y la necesidad de una respuesta ha frustrado a los clientes. Pero, escribe la empresa, quería «reunir todos los hechos antes de abordar públicamente estas reclamaciones.»
Entre las respuestas a esas afirmaciones, Eufy señala que utiliza Amazon Web Services para reenviar las notificaciones a la nube. La imagen está cifrada de extremo a extremo y se elimina poco después del envío, afirma Eufy, pero la empresa tiene la intención de notificar mejor a los usuarios y ajustar su marketing.
En cuanto a la visualización de imágenes en directo, Eufy afirma que «no se ha expuesto ningún dato del usuario, y los posibles fallos de seguridad que se comentan en Internet son especulativos». Pero Eufy añade que ha desactivado la visualización de las emisiones en directo cuando no se ha iniciado sesión en un portal de Eufy.
Eufy indica que la afirmación de que está enviando datos de reconocimiento facial a la nube «no es cierta». Todos los procesos de identidad se gestionan en el hardware local, y los usuarios añaden las caras reconocidas a sus dispositivos a través de la red local o de conexiones cifradas directas, afirma Eufy.
Pero Eufy señala que su Video Doorbell Dual utilizaba antes «nuestro servidor seguro AWS» para compartir esa imagen con otras cámaras de un sistema Eufy; esa función se ha desactivado desde entonces.
