HackN3t YouTube

Cámaras IP

Insecam: cámaras en directo sin contraseña. Cómo saber si la tuya está ahí

Insecam indexa miles de cámaras IP públicas sin contraseña, ordenadas por país y marca. Cómo comprobar si la tuya está expuesta y las 3 defensas que sí cierran el agujero.

Lectura · 6 min

01

Comprueba si tu cámara está expuesta

Antes de tocar nada, mira si tu cámara ya está indexada. Hay tres webs que lo hacen en menos de un minuto.

Insecam lista cámaras IP sin contraseña ordenadas por país, marca y habitación. Shodan y Censys hacen lo mismo a nivel técnico (escanean Internet entero buscando puertos abiertos típicos de cámaras: 80, 8080, 554 RTSP). Filtra por tu país, marca de cámara y rango horario. Si te ves, cierras el navegador y vas directo a la defensa 2.

Herramientas

02

Cambia la contraseña por defecto y cierra los puertos

Si tu cámara está en Insecam es por una de dos razones: contraseña por defecto o el router le abrió un puerto al exterior.

Casi todas las cámaras IP vienen con admin/admin, admin/12345 o admin sin password. Cámbiala YA por una de 16+ caracteres aleatorios (gestor de passwords). Luego entra al router (192.168.1.1) y desactiva UPnP. Esa función abre puertos al exterior sin avisarte. Quita también cualquier port forwarding manual a la cámara (puertos 80, 8080, 554, 8000). Sin estos puertos abiertos, Insecam y Shodan no la encuentran.

Herramientas

03

Aísla la cámara en su propia red

Las cámaras IP chinas baratas siguen siendo un agujero aunque cambies la password. Mete la cámara en una VLAN aparte.

Una cámara IP suele tener firmware con vulnerabilidades sin parchear durante años. Si entra en tu red principal, accede a tu portátil, tu NAS y tu router. La defensa real es aislarla: VLAN dedicada solo para cámaras (sin internet o solo a su servidor de grabación) o, mínimo, red Wi-Fi de invitados. Y consulta la cámara desde fuera por VPN al router, nunca por IP pública directa.

Herramientas

Por qué pasa

Cómo acaba tu cámara en Insecam sin que tú lo sepas

El recorrido típico desde que la compras hasta que aparece en una web pública.

  1. 1

    Compras una cámara IP barata en Amazon o AliExpress

    Hikvision, Dahua, marcas chinas sin nombre. Vienen con credenciales por defecto (admin/admin, admin/12345, admin sin password). El manual te dice que las cambies, casi nadie lo hace.

  2. 2

    La enchufas y tu router le abre un puerto al mundo

    La función UPnP del router permite que la cámara abra sola los puertos 80 (web), 554 (RTSP) y 8000 (Hikvision propietario) hacia internet. Sirve para que la veas desde el móvil cuando estás fuera. Y también para que la vea cualquier otro.

  3. 3

    Shodan la indexa en menos de 24 horas

    Shodan escanea internet entero todo el rato. En cuanto detecta un puerto típico de cámara abierto, anota la IP, el modelo, el país y la mete en su base de datos. Insecam, Censys y herramientas similares hacen lo mismo.

  4. 4

    Apareces en Insecam y allí te quedas durante años

    Insecam filtra las que siguen con password por defecto y las publica abiertas por categoría. Muchas llevan ahí desde 2014. Nadie reclama porque la mayoría de propietarios ni sabe que la cámara emite hacia internet. Y mientras, cualquiera con un navegador la ve.

Más en Shodan ICS Explore y las 7 queries de Shodan que ya publicamos.

Preguntas frecuentes

¿Cómo sé si mi cámara está en Insecam?
En insecam.org filtra por país (España) y por la marca de tu cámara. Si te reconoces en algún feed, está expuesta. Más rápido: pega tu IP pública en Shodan y mira si aparece con puertos 80, 8080 o 554 (RTSP) abiertos.
¿Es legal mirar las cámaras de Insecam?
Insecam es público y no requiere login, pero mirar cámaras de personas sin su consentimiento puede ser delito según el país (en España, art. 197 del Código Penal). Lo educativo es comprobar si LA TUYA está ahí. No el resto.
¿Por qué siguen ahí si no son las mías?
Porque nadie las arregla. La mayoría las instaló alguien hace años (un fabricante de cámaras chino, un negocio pequeño, un comunidad de vecinos) y ya nadie las toca. Insecam lleva indexando algunas cámaras desde 2014. El problema no es técnico, es de mantenimiento.
¿Basta con cambiar la password?
No. Si tu router tiene UPnP activo, abre puertos al exterior automáticamente y la cámara queda visible a Shodan aunque tenga password buena (luego prueban admin/admin, 12345, password en bots automáticos 24/7). Cambia la password, desactiva UPnP, cierra puertos. Las tres cosas.

Otros recursos

Shodan

Cámaras expuestas en Shodan: las 7 queries reales

Las búsquedas exactas de Shodan que encuentran cámaras IP expuestas en internet. Cópialas, pruébalas y comprueba si la tuya también está expuesta.

Aviso Guardia Civil

Te roban del coche aunque el portátil esté apagado

Cómo detectan los ladrones tu portátil dentro del coche con Bluetooth y escáneres de batería de litio, y las 3 defensas que sí funcionan.

Privacidad y OPSEC

Cómo desaparecer de internet: 10 herramientas reales

Identidades alternativas, emails y números temporales, VPN sin logs, Tor, mensajería privada y los hábitos de OPSEC que aplican los profesionales.

¿Más así?

En el canal hay mucho más

OSINT y casos reales con todo el contexto que no cabe en un Reel.

Ver en YouTube Otros recursos