Controversia en la Ciudad de México por el uso de equipos Dahua Technology en fotomultas

La Ciudad de México comenzó a utilizar nuevos equipos para su sistema de fotomultas y foto cívicas pero esto se encuentra en medio de cuestionamientos por la elección de una marca que actualmente enfrenta algunas restricciones.

De acuerdo con el gobierno local, a través de la Subsecretaría de Control de Tránsito, liderada por Cristian Raymundo Sumano Salazar, se optó por mantener como proveedor a la empresa asiática Dahua Technology, a pesar de las crecientes prohibiciones internacionales que pesan sobre esta compañía.

Las preocupaciones giran en torno a posibles riesgos de ciberseguridad, defectos en sus productos y prácticas éticas controvertidas que pusieron en el ojo a la CDMX, pues algunos países como Australia, Lituania y Estados Unidos la han vetado.

El uso de Dahua en México y otros países

La capital mexicana cuenta con un aproximado de 78 y 79 radares de velocidad en la CDMX y de acuerdo con diferentes fuentes, se espera que se supere la cifra debido a un programa que tiene como objetivo mejorar el cumplimiento del Reglamento de Tránsito y reducir accidentes viales.

La operación de estos dispositivos está a cargo de la empresa mexicana DGSO México, con sede en Jalisco y esta decisión ha generado controversia entre la población debido a que la marca tiene supuestos antecedentes en otros países, donde ha sido objeto de restricciones por motivos de seguridad y calidad.

Sin embargo, las autoridades locales han mantenido su postura y han argumentado que su uso es por la funcionalidad de los equipos en el contexto de la regulación del tránsito en la ciudad pero la polémica en torno a Dahua Technology no es nueva.

La empresa ha sido vetada en múltiples países debido a preocupaciones relacionadas con la ciberseguridad, fallas en sus productos y cuestionamientos éticos. Entre las naciones que han prohibido el uso de sus dispositivos se encuentran Australia, India, Países Ba jos, Gales, Escocia, Reino Unido, Taiwán, Lituania y Estados Unidos.

En el caso de Estados Unidos, en 2018 se aprobó la Ley Pública No. 115–232 SEC. 889, que prohíbe la adquisición de productos de Dahua Technology por parte del gobierno federal. Además, ese mismo año, la Asociación de la Industria de la Seguridad (SIA, por sus siglas en inglés) expulsó a la empresa de sus filas tras determinar que había violado su código de ética.

Estas medidas han sido adoptadas como respuesta a las vulnerabilidades detectadas en los dispositivos de la compañía, las cuales podrían comprometer la seguridad de los usuarios y de las redes en las que operan.

Riesgos de seguridad asociados a los productos de Dahua

Uno de los principales motivos de preocupación en torno a los equipos de Dahua Technology radicaba en las vulnerabilidades de seguridad que han sido identificadas en sus cámaras y otros dispositivos, ya que estas fallas podían ser explotadas para acceder de manera no autorizada a los sistemas en los que están integrados, lo que representa un riesgo significativo en términos de privacidad y protección de datos.

A pesar de estas advertencias, las autoridades de la Ciudad de México han decidido continuar utilizando los equipos de esta marca en su sistema de foto multas y fotocívicas. Este sistema tiene como objetivo principal regular el tránsito vehicular y fomentar el cumplimiento de los límites de velocidad, pero la elección del proveedor ha generado inquietudes entre expertos en tecnología y ciberseguridad, quienes han señalado los posibles riesgos asociados al uso de estos dispositivos.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) ambas vulnerabilidades permiten la evasión de autenticación, lo que significa que los atacantes pueden acceder a los dispositivos afectados sin necesidad de credenciales válidas.

La primera vulnerabilidad, (CVE-2021-33044), se activa cuando un atacante especifica el argumento de tipo “Net Keyboard” durante el proceso de autenticación. Según explicó CISA, en dispositivos Dahua que no admite esta funcionalidad y que ejecutan versiones de firmware anteriores a junio de 2021, los atacantes pueden aprovechar esta debilidad para omitir completamente los mecanismos de autenticación.

Por otro lado, la segunda vulnerabilidad, CVE-2021-33045, se relaciona con el uso de un dispositivo de bucle invertido durante la autenticación. Este problema afecta a versiones de firmware lanzadas antes de mediados de 2020. Los atacantes pueden explotar esta falla especificando una dirección IP personalizada, un tipo de inicio de sesión y un tipo de cliente en las solicitudes de autenticación, lo que les permite simular que el acceso proviene de un bucle invertido y, de esta manera, eludir las medidas de seguridad.

Sin embargo, múltiples sitios de internet especializados en cámaras de video vigilancia mencionan que tanto Dahua como Hikvision son de las más populares debido a su desempeño y calidad de imagen.