Las cámaras de video vigilancia chinas contratadas por Moncloa podrían representar un nuevo riesgo para EE. UU.

El uso en las oficinas del Sistema de Seguridad Nacional de La Moncloa y en las dependencias del presidente Pedro Sánchez de un sistema de vídeo vigilancia y sensores IoT de Hikvision —un fabricante estatal chino que suministra equipos tanto para usos civiles como militares— podría representar una nueva alerta de riesgo para Estados Unidos, considerando que la semana pasada, los presidentes de los comités de Inteligencia del Senado y la Cámara de Representantes de EE. UU. solicitaron a la Dirección Nacional de Inteligencia que revise todo el intercambio de inteligencia con España, tras conocerse que otra empresa con estrechos vínculos con el Partido Comunista Chino, está suministrando servicios para los sistemas de escuchas telefónicas en territorio español.

En 2020, el Parlamento Europeo criticó la adquisición de cámaras Hikvision por parte de su propia administración y la Comisión Europea, y solicitó su retirada. Entre 2021 y 2024, se publicaron varios informes que advertían sobre graves vulnerabilidades en el software de estas videocámaras, así como sobre la venta en línea de credenciales de acceso, como alertó la Agencia Nacional de Ciberseguridad de Italia. Paralelamente, estos productos comenzaron a ser prohibidos o retirados en países como Estados Unidos, el Reino Unido y, más recientemente, Canadá.

El Europarlamento insistió en que se necesita implantar «una política de contratación pública prudente que tenga debidamente en cuenta las cuestiones relativas a los derechos humanos», ya que su uso estaba implicado, por ejemplo, en la vigilancia de los uigures en la Región Autónoma Uigur de Xinjiang, e instó a su administración y a su presidente a que rompan de inmediato toda relación comercial directa o indirecta con Hikvision y mejoren la transparencia de sus actividades de contratación pública.

En junio de 2022, la secretaria de Estado y directora del Centro Criptológico Nacional, Esperanza Casteleiro Llamazares, certificó para el Departamento de Defensa de España una serie de cámaras de vigilancia de la empresa china Hikvision Digital Technology Co., domiciliada en Hangzhou, según una publicación del Boletín Oficial del Estado. Las cámaras aprobadas son la «Hikvision Network Camera Series DS-2CD5, DS-2CD7 and PTZ version 1.1».

Según Casteleiro, el certificado expedito se basa en el reglamento de Evaluación y Certificación de Seguridad de las Tecnologías de Información que data del año 2007. Además, indica que estas cámaras ya contaban con un positivo Informe Técnico de Evaluación de Brightsight Barcelona S.L. con normas Common Methodology y otro del Centro Criptológico Nacional.

En septiembre de 2022, las autoridades españolas acordaron adquirir el suministro de componentes para el sistema Hikcentral del circuito cerrado de televisión (CCTV) del Departamento de Seguridad de la Presidencia del Gobierno, según consta en el sistema de Contratación del Estado. En el contrato participaron Ana Isabel Fernández García, Jefa de Área de Gestión Patrimonial de la Subdirección General de Planificación y Gestión de Infraestructuras y Medios para la Seguridad (SGPGIMS), y entre otros, Tomas Perales Piqueres, asesor del Departamento de Seguridad de la Presidencia de Gobierno.

HikCentral es un software de gestión de seguridad de la empresa HikVision, que centraliza la administración de cámaras de vídeo vigilancia, controles de acceso y alarmas.

Lea también: El Gobierno usa normas de seguridad obsoletas de 2020 para seguir contando con Huawei

En esa fecha, el medio Confidencial Digital informó que el Gobierno estaba renovando los sistemas de vídeo vigilancia en las instalaciones del Departamento de Seguridad Nacional del Complejo de la Moncloa y en el recinto donde reside el presidente del GobiernoPedro Sánchez.

El Ministerio de la Presidencia encargó el material necesario para la vídeo vigilancia del Centro de Mando de Seguridad. Este centro, que depende del Departamento de Seguridad de Presidencia del Gobierno, coordina los dispositivos, planes de seguridad y de emergencias con los que las Fuerzas de seguridad del Estado protegen el Complejo de la Moncloa y están en servicio 24 horas, 365 días del año.

Además, se lanzó la licitación pública con un presupuesto de 118 580,57 euros, para contratar los componentes del sistema Hikcentral de circuito cerrado de televisión CCTV «para el Departamento de Seguridad de Presidencia del Gobierno». Esta unidad depende de la Secretaría General de Presidencia del Gobierno y está formada principalmente por policías nacionales y guardias civiles, asignados para proteger el personal, edificios e instalaciones del Complejo de la Moncloa.

También tiene «funciones y actuaciones necesarias para la seguridad integral del presidente del Gobierno y otras personas e instalaciones que determine el director del Gabinete de la Presidencia del Gobierno, en coordinación con el Ministerio del Interior», añadió el medio de prensa en septiembre de 2022.

La Presidencia especificó que «todas las cámaras a suministrar deben ser de la marca Hikvision y del modelo que se especifica», según Confidencial Digital. Las cámaras instaladas en el Complejo de la Moncloa no solo envían la imagen del área de cobertura, sino que también cuentan con un software de inteligencia que permite generar señales de alarma en función de lo que ocurra en la zona vigilada.

El contrato incluía la adquisición de más de veinte licencias del sistema HikCentral, de la empresa Hikvision. Estas servirían para gestionar canales de comunicación, cámaras de control de acceso y cámaras diseñadas específicamente para identificar matrículas de vehículos, entre otros usos.

Sistema de escuchas telefónicas de España con Huawei

El presidente del Comité Selecto de Inteligencia del Senado de Estados Unidos, el senador Tom Cotton, y el presidente del Comité Selecto Permanente de Inteligencia de la Cámara de Representantes de EE. UU., el representante Rick Crawford, enviaron el 17 de julio una carta a la Directora de Inteligencia Nacional, Tulsi Gabbard, solicitando la revisión de todo el intercambio de inteligencia con los servicios de inteligencia, defensa y aplicaciones de la ley en España.

El senador Cotton dijo que emitieron la carta por los informes de que «el Ministerio del Interior español adjudicó contratos por valor de 12,3 millones de euros a Huawei, empresa con estrechos vínculos con el PCCh, para el suministro de servidores y servicios de consultoría para los sistemas de escuchas telefónicas de España», según un comunicado de prensa del 17 de Julio.

Los senadores advirtieron que «Huawei mantiene estrechos vínculos con el PCCh y está sujeta a las leyes de Inteligencia Nacional y Seguridad de Datos de China, que la obligan a proporcionar al PCCh acceso a cualquier información que este considere necesaria. En esencia, Huawei y el PCCh podrían tener acceso por la puerta trasera al sistema de interceptación legal de un aliado de la OTAN, lo que les permitiría monitorear las investigaciones españolas sobre espías del PCCh e innumerables otras actividades de inteligencia».

Vulnerabilidad detectada en el software de Hikvision

En junio de 2021, el gobierno de la República Dominicana informó que se descubrió una vulnerabilidad crítica en cámaras IP de Hikvision con versiones de software interno que permitía la ejecución remota de código sin autenticación.

«Esta falla en el servidor web integrado de los dispositivos permitía a atacantes tomar el control (…) superando incluso los permisos del propietario legítimo, quien está limitado a una consola protegida. La vulnerabilidad expone los sistemas a graves riesgos de seguridad, incluyendo el control malicioso de cámaras y accesos a redes internas», dijo el Gobierno. Hikvision instó a los usuarios a actualizar inmediatamente el firmware para mitigar esta amenaza.

La Agencia Nacional de Ciberseguridad italiana dijo en septiembre de 2021 que un investigador de seguridad descubrió que la mayoría de las cámaras IP recientes, para esa fecha, de Hikvision, estaban expuestas a una vulnerabilidad crítica de ejecución remota de código no autenticado, permitiendo a un posible atacante obtener el control del dispositivo sin restricciones.

«La vulnerabilidad, si se explota, también podría permitir a un atacante acceder a las redes internas de las organizaciones que utilizan los productos afectados», destacó la agencia.

Lea también: EE. UU. revisa los acuerdos de inteligencia con España por su relación con Huawei

En 2022 se hablaba de 80 000 cámaras vulnerables de la marca Hikvision en el mundo por el error descubierto un año antes. Cualquier persona en determinadas circunstancias «podría aprovecharlo para realizar acciones como unirse a una botnet, lanzar ataques a otras redes o espiar a sus propietarios».

Security Info destacó que investigadores de CYFIRMA observaron en los foros informáticos múltiples casos de piratas informáticos que intentan colaborar para explotar las cámaras Hikvision a nivel mundial. Las credenciales de las cámaras Hikvision estuvieron a la venta en foros rusos, por lo que los hackers podían acceder a los dispositivos y explotar aún más la ruta de ataque. En esa ocasión, Hikvision ofreció a sus clientes actualizar el software a su última versión para evitar el hackeo.

Otras tres vulnerabilidades se descubrieron en marzo de 2024, en algunos grabadores de vídeo en red (NVR) de Hickvision, una de ellas con clasificación riesgo «alto», indicó la agencia de seguridad italiana. «Si se explota, esta vulnerabilidad podría permitir que un usuario autenticado con privilegios administrativos ejecute comandos arbitrarios en los dispositivos afectados».

En este caso, los proveedores de estos productos solo recomendaron aplicar las mitigaciones disponibles siguiendo las instrucciones del boletín de seguridad en la sección Referencias de la marca.

Según un artículo publicado en diciembre de 2024 por la empresa estatal China Electronics Technology Group Corporation, accionista mayoritaria de Hikvision, la compañía ha sido el proveedor líder en el mercado global de vídeo vigilancia durante los últimos 11 años, con una cuota de mercado global del 27,5 %. Desde 2015, Hikvision se ha expandido hacia el internet de las cosas, la inteligencia artificial y el big data.

Posible vinculación con la represión de disidentes

Hikvision ha sido acusado de ayudar al régimen comunista a reprimir a grupos disidentes y minorías étnicas.

La empresa de información de vídeo vigilancia IPVM, con sede en Pensilvania, dijo que Hikvision ha sido un proveedor importante del ejército chino y ha proporcionado al régimen tecnologías de reconocimiento facial diseñadas para mejorar el interrogatorio de prisioneros, para ayudar en la operación de campos de concentración en la región Xinjiang de China y para rastrear manifestantes y practicantes de Falun Gong.

Hikvision ha negado ser cómplice de abusos contra los derechos humanos. En diciembre de 2024, la compañía declaró haber rescindido los contratos que tenía en Xinjiang a través de cinco de sus filiales.

Conor Healy, director de investigación gubernamental de IPVM, declaró anteriormente a The Epoch Times que el equipo de Hikvision conlleva riesgos de seguridad significativos porque «constantemente» exhibe vulnerabilidades en su software que abren puertas para que los piratas informáticos accedan a la información.

Países retiran los productos de la empresa estatal china

Desde 2019, la empresa ha sido incluida en la lista negra de varios departamentos y agencias del gobierno de EE. UU. por preocupaciones de seguridad y derechos humanos, incluidos el Departamento del Tesoro, el Departamento de Comercio y el Departamento de Defensa.

En 2022, la Comisión Federal de Comunicaciones de Estados Unidos votó unánimemente para prohibir las ventas de nuevos equipos y dispositivos de telecomunicaciones chinos fabricados por Huawei Technologies, ZTE Corporation, Hytera Communications, Hangzhou Hikvision Digital Technology y Dahua Technology (y sus subsidiarias y filiales).

Londres también prohibió a los departamentos y agencias gubernamentales la compra de nuevas cámaras de CCTV chinas, incluidas las de Hikvision, y comenzó a retirar gradualmente los equipos antiguos. El gobierno citó la ley de inteligencia nacional de China, que obliga a todas las personas y organizaciones en China a entregar datos al estado cuando sea necesario para colaborar en las labores de inteligencia.

El gobierno de Canadá también ordenó al fabricante chino de cámaras de vigilancia Hikvision «cesar todas las operaciones en Canadá y cerrar su negocio canadiense» después de realizar una revisión de seguridad nacional bajo la Ley de Inversiones del país, dijo la ministra de Industria, Mélanie Joly, el 27 de junio.

Joly indicó que a los departamentos gubernamentales, agencias y corporaciones de la corona se les prohibirá adquirir nuevos productos Hikvision y se iniciará una revisión para garantizar que los equipos antiguos del fabricante chino ya no se utilicen.

Previamente, el 5 de marzo, el gobierno emitió nuevas directrices que incorporaron la seguridad económica al ámbito de la seguridad nacional e incorporaron la Lista de Tecnología Sensible del gobierno, que incluye la detección y vigilancia avanzadas, la inteligencia artificial y la tecnología de big data.

Hikvision respondió presentando una notificación de solicitud ante el fiscal general de Canadá, pidiendo una revisión judicial de la orden federal que requiere que la compañía cierre sus operaciones en Canadá, dijo la compañía en un comunicado del 7 de julio .