Acceso total sin contraseña: una vulnerabilidad en las cámaras de Honeywell permite que cualquiera vea tus grabaciones
Vulnerabilidad de seguridad afecta a varias series populares de cámaras IP
En las populares cámaras de videovigilancia de Honeywell se detectó una vulnerabilidad crítica que permite a un tercero acceder al flujo de vídeo o secuestrar por completo la cuenta del dispositivo. Sobre el problema advirtió la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
La brecha recibió el identificador CVE-2026-1670 (puntuación CVSS 9.8). La vulnerabilidad corresponde a la falta de verificación de autenticidad al ejecutar una función crítica. El problema es que el atacante no necesita iniciar sesión. A través de una interfaz de programación expuesta, el atacante puede cambiar de forma remota la dirección de correo electrónico que se utiliza para el restablecimiento de la contraseña. Después basta con iniciar el procedimiento de «olvidé la contraseña» para apoderarse de la cuenta y obtener acceso a la transmisión de la cámara.
La CISA aclaró que la vulnerabilidad está relacionada con una interfaz de programación accesible sin autorización. Mediante esa interfaz se puede modificar la dirección para el restablecimiento de la contraseña y así interceptar el control del dispositivo. El problema afecta a varios modelos, entre ellos I-HIB2PI-UL 2MP IP versión 6.1.22.1216, así como a dispositivos de las series SMB NDAA MVO-3 WDR_2MP_32M_PTZ_v2.0, PTZ WDR 2MP 32M WDR_2MP_32M_PTZ_v2.0 y 25M IPC WDR_2MP_32M_PTZ_v2.0.
Honeywell es un gran fabricante mundial de equipos para seguridad y videovigilancia. Sus cámaras se usan en oficinas, almacenes, instalaciones industriales y en infraestructuras críticas. En su catálogo hay modelos que se instalan en organismos gubernamentales y en contratistas federales. El aviso se refiere a cámaras de gama media, que se emplean con mayor frecuencia en empresas pequeñas y medianas. No obstante, parte de esos dispositivos puede funcionar también en entornos con requisitos de seguridad más elevados.
Por ahora no hay indicios de que la vulnerabilidad se esté explotando en ataques reales. Aun así, los especialistas recomiendan, siempre que sea posible, no exponer directamente esos dispositivos a internet, aislarlos detrás de cortafuegos y utilizar métodos seguros de acceso remoto. El fabricante aún no ha publicado un aviso separado sobre CVE-2026-1670. Se recomienda a los propietarios de los dispositivos afectados que contacten con el servicio de soporte de Honeywell para solicitar aclaraciones e información sobre actualizaciones.