Clicky

Cisco vendió 'con conocimiento' al gobierno de EE. UU. un sistema de videovigilancia pirateable

Centro de videovigilancia

VSM permite a los clientes administrar múltiples cámaras de vídeo en diferentes ubicaciones físicas

Cisco Systems acordó pagar $ 8.6 millones para resolver una demanda que acusó a la compañía de vender a sabiendas un sistema de videovigilancia que contiene severas vulnerabilidades de seguridad a las agencias gubernamentales federales y estatales de los EE. UU.

Se cree que es el primer pago en un caso de 'Ley de Reclamaciones Falsas' por incumplimiento de los estándares de seguridad cibernética.

La demanda comenzó hace ocho años, en el año 2011, cuando el subcontratista de Cisco que se convirtió en denunciante, James Glenn, acusó a Cisco de continuar vendiendo una tecnología de videovigilancia a las agencias federales, incluso después de saber que el software era vulnerable a múltiples fallas de seguridad.

De acuerdo con los documentos judiciales, Glenn y uno de sus colegas descubrieron en septiembre de 2008 múltiples vulnerabilidades en la suite Cisco Video Surveillance Manager (VSM) e intentaron denunciarlas a la compañía en octubre de 2008.

La suite Cisco Video Surveillance Manager (VSM) permite a los clientes administrar múltiples cámaras de video en diferentes ubicaciones físicas a través de un servidor centralizado, al que se puede acceder de forma remota.

Según los informes, las vulnerabilidades podrían haber permitido que los piratas informáticos remotos obtuvieran acceso no autorizado al sistema de videovigilancia de forma permanente, lo que eventualmente les permitiría acceder a todas las fuentes de vídeo, a todos los datos almacenados en el sistema, modificar o eliminar fuentes de vídeo y eludir las medidas de seguridad.

Aparentemente, Net Design, el contratista de Cisco donde Glenn trabajaba en ese momento, lo despidió poco después de informar sobre las violaciones de seguridad de Cisco, que la compañía describió oficialmente como una medida de reducción de costos.

Sin embargo, en 2010, cuando Glenn se dio cuenta de que Cisco nunca solucionó esos problemas ni notificó a sus clientes, informó a la agencia federal de EE. UU., quien luego lanzó una demanda alegando que Cisco había defraudado a los gobiernos federales, estatales y locales de EE. UU. que compraron el producto.

cámaras de videovigilancia

Cisco, directa e indirectamente, vendió su suite de software VSM a departamentos de policía, escuelas, tribunales, oficinas municipales y aeropuertos, así como a muchas agencias gubernamentales, incluido el Departamento de Seguridad Nacional de los EE. UU., el Servicio Secreto, la Armada, el Ejército, el Aire Force, el Cuerpo de Marines y la Agencia Federal para el Manejo de Emergencias (FEMA).

"Cisco ha sabido de estas fallas críticas de seguridad durante al menos dos años y medio; no ha notificado a las entidades gubernamentales que han comprado y continúan usando VSM con la vulnerabilidad", indica la demanda.

"Así, por ejemplo, un usuario no autorizado podría cerrar efectivamente un aeropuerto completo al tomar el control de todas las cámaras de seguridad y apagarlas. Alternativamente, un pirata informático podría acceder a los archivos de vídeo de una gran entidad para ocultar o eliminar evidencia de robo en vídeo o espionaje ".

Después de que se presentó la demanda, la compañía reconoció las vulnerabilidades (CVE-2013-3429, CVE-2013-3430, CVE-2013-3431) y lanzó una versión actualizada de su suite de software VSM.

Como parte de la demanda, Cisco finalmente acordó pagar $ 8.6 millones en el acuerdo, de los cuales Glenn y sus abogados recibirán $ 1.6 millones y el resto $ 7 millones para el gobierno federal y los 16 estados que compraron el producto afectado.

En respuesta al último acuerdo, Cisco emitió el miércoles una declaración oficial diciendo que estaba "complacido de haber resuelto" la disputa de 2011 y que "no hubo ninguna acusación o evidencia de que se produjo un acceso no autorizado al vídeo de los clientes" como resultado de la arquitectura de VSM.

Sin embargo, la compañía agregó que las transmisiones de vídeo podrían "teóricamente haber sido objeto de piratería", aunque la demanda no ha afirmado que nadie haya explotado las vulnerabilidades descubiertas por Glenn.

Jesus_Caceres