Compras una cámara para casa, la enchufas, la conectas al Wi-Fi, descargas la app en el móvil, escaneas un código QR y la emparejas. Tres minutos y listo. A partir de ahora puedes ver desde cualquier sitio qué está haciendo tu gato.
Todo perfecto.
Hasta que un día un amigo te manda un enlace y te dice «mira esto». Lo abres y ves tu salón. Tu chaqueta de ayer sobre el sofá, el té a medio beber sobre la mesa. En la esquina inferior derecha, una dirección IP y el nombre de una ciudad.
Tú no has compartido esa imagen. No le has dado la contraseña a nadie. Ni siquiera sabías que la cámara se pudiera abrir desde un navegador.
Pero en ese momento, cualquiera —cualquier persona que abra esa página web— está mirando tu salón.
No es el arranque de una novela de terror. Es la realidad cotidiana que un proyecto llamado IP Crawl acaba de mostrar al mundo.
Un programador, 4.200 millones de direcciones IP
En junio de 2026, un programador bajo el seudónimo de Alec subió un sitio web a la portada de Hacker News, donde consiguió 192 votos y más de un centenar de comentarios encendidos. El sitio se llama IP Crawl (ipcrawl.com) y su función es tan simple que cualquier persona puede entenderla: es un mapa vivo de cámaras públicas. Abres la página y ves capturas de pantalla en tiempo real de cámaras repartidas por todo el mundo: colegios, hospitales, fábricas, edificios gubernamentales, hoteles, salones de viviendas e incluso dormitorios.
Todas estas cámaras comparten una característica: se puede acceder a ellas sin ninguna contraseña. No necesitas hackear, no necesitas técnicas de cracking, no necesitas ninguna base de datos de ingeniería social. Solo tienes que escribir una dirección en el navegador y la imagen aparece.
Lo que Alec hizo no es técnicamente complejo, pero desde el punto de vista de la ingeniería es suficiente para poner los pelos de punta a cualquier profesional de la seguridad. Escribió un programa que recorrió el espacio completo de direcciones IPv4 públicas: unos 4.200 millones de IPs. En cada una, el programa probaba decenas de rutas conocidas de captura de imagen de cámara web. Hikvision, Dahua, Axis, D-Link, TP-Link, SONY… Prácticamente todas las marcas principales tienen interfaces de captura con rutas públicas, formatos fijos y tan predecibles que ni hace falta consultar documentación para adivinarlas.
El programa llamó a cada puerta. Si alguien abría, guardaba la captura. Si no, pasaba a la siguiente. Sin forzar contraseñas, sin explotar vulnerabilidades, sin instalar puertas traseras. Solo una cosa: fotografiar las puertas que nunca estuvieron cerradas y catalogarlas.
En palabras del propio Alec: “To be absolutely clear: the engine never attempts authentication, brute-forces credentials or exploits software vulnerabilities. It only catalogues what is already completely open to the public internet.”
Suena comedido. Pero cuando ves lo que hay dentro de ese catálogo, la palabra «comedido» resulta escalofriante.
Nunca imaginarías lo que hay dentro
El abanico de escenas que muestra IP Crawl supera con creces lo que la mayoría de la gente imaginaría. Repasando el material público, estos son algunos de los casos documentados:
- La oficina central de SONY en Japón: cámaras de seguridad conectadas directamente a internet, sin control de acceso ni autenticación;
- Instalaciones de servicios públicos en Israel: imágenes de infraestructura crítica visibles desde cualquier navegador;
- Una vivienda en Droitwich, Reino Unido: la cámara apunta directamente a un cultivo interior, presuntamente de marihuana;
- Una cámara oculta en Salt Lake City, EE.UU.: el ángulo es extraño, no parece una instalación正规, sino más bien colocada subrepticiamente;
- Pasillos y aulas de colegios;
- Pasillos de hospitales y exteriores de habitaciones;
- Interiores de guarderías;
- Talleres de fábricas y salas de control industrial.
Y esto es solo la punta del iceberg que el propio Alec enumeró. Escribe: “Schools, colleges, hospitals, government facilities, corporate offices, residential living rooms, daycares, indoor cultivation setups, industrial complexes and manufacturing plants. Every day you will see something new.”
Un usuario de HN lo expresó con mucha franqueza: “I looked into someone’s bedroom. Fortunately it was empty, but I promptly shat myself and turned off my computer.”
No es el guion de una película de terror. Es algo que ocurrió de verdad, en 2026, en una época en la que supuestamente la conciencia sobre ciberseguridad ya está generalizada.
¿Por qué hay tantas cámaras desnudas en internet?
El lector medio, al llegar aquí, probablemente pensará: «¿Quién demonios expondría su cámara a internet?»
La respuesta: la inmensa mayoría de los expuestos no tienen ni idea de que su cámara está expuesta. Hay tres fuerzas que confluyen para crear esta situación.
La primera: la dejadez de los fabricantes.
Hikvision, Dahua, Axis, D-Link, Wyze, SONY —Alec enumera una larga lista de marcas en su blog técnico y luego escribe: “Shipping hardware this vulnerable directly violates customer privacy and creates a massive security liability.”
Estas cámaras salen de fábrica con contraseñas por defecto, normalmente combinaciones triviales como admin/admin o admin/12345. Muchos modelos ni siquiera exigen contraseña para acceder a la imagen en directo a través de ciertas rutas URL —ese es precisamente el mecanismo que explota el escaneo de IP Crawl. Los fabricantes lo saben perfectamente, pero bajo la presión del coste y la comodidad, prácticamente ninguno ha hecho cambios sustanciales en la configuración de fábrica.
Alec va más lejos: “Risking the label of a conspiracy theorist, it’s starting to look less like negligence and more like a legally sanctioned backdoor for mass surveillance.”
La segunda: el reenvío automático de puertos del router.
Muchos routers domésticos traen activada por defecto una función llamada UPnP (Universal Plug and Play). Se diseñó para facilitar las cosas: conectas un dispositivo y se configura solo, sin necesidad de mapear puertos manualmente. Pero también significa que si una cámara le dice al router «ábremelo», el router obedece. El usuario no se entera de nada.
Un usuario de HN lo señaló con precisión: “UPnP is not disabled by default on all routers, especially older ones. So devices may just try to port-forward certain control or media ports.”
Es decir: compras una cámara, la enchufas, la conectas. La cámara le dice al router: «Necesito abrir una puerta hacia fuera.» El router la abre. Y entonces todos los escáneres del mundo —no solo IP Crawl, también Shodan y otros motores de búsqueda de IoT— descubren la puerta de tu casa.
Tú solo escaneaste un código QR.
La tercera: el «con tal de que funcione» de los instaladores.
En muchos casos, las cámaras no las instala el usuario. El usuario de HN Aurornis describió una escena muy realista: el instalador se ha pasado el día subido a falsos techos, está sudando y solo quiere terminar e irse a casa. “Some installer with a git-er-done attitude knows their customer wants a solution to something (remote access) and they use the first technique they can find to accomplish that without any concern about what it means.”
Otro usuario resumió con brillantez el estado del sector de la instalación: “Most CCTV contractors are not network security experts. Most network security experts would quit before ever entering a hot attic.”
Así que la solución final suele ser: abre el puerto y que se vea. Quién más lo vea —eso no figura en el contrato de instalación.
«Comodidad técnica» y «privacidad» no son una dicotomía inevitable
Existe una tensión fundamental: el consumidor quiere comodidad —poder ver la cámara de casa desde el móvil cuando está fuera—, pero el camino que la industria ha tomado para ofrecer esa comodidad es exponer el puerto de la cámara directamente a internet.
Hay soluciones mejores. Varios usuarios de HN con perfil técnico propusieron una arquitectura segura: que el fabricante ofrezca un servidor proxy intermedio, que la cámara establezca una conexión cifrada con el proxy y que el usuario vea la imagen a través del proxy, sin que la IP real de la cámara quede nunca expuesta a internet. Aplicaciones como Signal o WhatsApp ya han demostrado que esta vía es viable para videollamadas.
El problema es que una solución así exige que el fabricante invierta en servidores adicionales, diseñe mecanismos de autorización seguros y proporcione guías claras al usuario. Y la realidad actual es que ningún fabricante está dispuesto a pagar por una «seguridad que el usuario no ve».
Alec escribe en su blog: “The goal is straightforward: turn public exposure into pressure, forcing both manufacturers and users to take privacy seriously.”
Es una estrategia de transparencia como palanca de cambio. Pero también ha desatado un intenso debate ético en HN.
¿Hay que arreglar la vulnerabilidad o apagar el foco?
Un número considerable de usuarios de HN expresó incomodidad con IP Crawl. El comentario de «naturalmovement» recibió muchos votos: “There’s a difference between your neighbor not closing her blinds and you using a telescope to look inside her apartment, which is what sites like this are.”
Otro usuario fue aún más directo: “Definitely an invasion of privacy. I can’t visit this website in good faith. It should be taken down.”
Pero también hubo quien replicó: Shodan lleva más de una década funcionando y también permite encontrar estas cámaras expuestas. ¿Habría que cerrar Shodan también? Google indexa paneles de administración sin contraseña. ¿Habría que cerrar Google?
Una reflexión más profunda vino del usuario «portaouflip»: “I’d also ask us tech savvy people to practice some humility. Yes, the people setting up these cameras are not following security best practices. But are you sure that you will not make the same mistakes?”
Es un debate sin respuesta única. Pero tomes el lado que tomes, hay un hecho innegable: el agujero negro que IP Crawl ha dejado al descubierto es real. Aunque cierres ese sitio web, las cámaras siguen desnudas en internet. Cualquiera que sepa escribir un bucle for puede encontrarlas.
¿Qué puedes hacer ahora mismo?
IP Crawl ofrece una función de «comprobar tu zona»: introduces tu ubicación aproximada y te muestra si hay cámaras expuestas cerca de ti. Sirve para confirmar si tu propia casa está en esa lista.
Si tienes cámaras conectadas a internet en casa, estos pasos reducen inmediatamente el riesgo de exposición:
Primero: cambia la contraseña por defecto ya. No uses admin/admin, ni 12345, ni tu cumpleaños ni tu número de teléfono. Pon una contraseña de al menos 12 caracteres con letras, números y símbolos. Si el firmware de tu cámara no admite contraseñas fuertes, esa cámara no merece tu confianza.
Segundo: revisa la configuración UPnP de tu router. La mayoría de los routers domésticos permiten desactivarlo. Desactívalo. Eso significa que al conectar dispositivos nuevos puede que tengas que hacer alguna configuración manual, pero esa molestia es ridícula comparada con el riesgo de exponer tu privacidad.
Tercero: si necesitas acceso remoto a tu cámara, no uses reenvío de puertos. Pregunta al fabricante si ofrece un servicio de proxy en la nube seguro o monta tu propio túnel VPN. Esto último requiere ciertos conocimientos técnicos, pero si tus datos te importan de verdad, es un precio necesario.
Cuarto: plantéate cambiar de marca si no ofrece actualizaciones de seguridad. Si un fabricante no publica actualizaciones de firmware, no corrige vulnerabilidades conocidas y no soporta conexiones seguras, tira su dispositivo a la basura. Es una cuestión de respeto hacia ti y hacia tu familia.
Para terminar
El proyecto IP Crawl de Alec es, en esencia, una lupa. No amplifica vulnerabilidades técnicas —esas llevan más de una década siendo discutidas hasta la saciedad. Lo que amplifica es el desprecio sistémico de todo un ecosistema industrial hacia la gente corriente: los fabricantes saben que sus productos son inseguros pero los siguen vendiendo; los instaladores saben que su trabajo no es profesional pero lo siguen haciendo; las plataformas saben que hay riesgos pero siguen conectando.
Y el precio final lo paga quien menos debería pagarlo: el consumidor de a pie que solo quería ver a su gato.
Alec cierra su artículo con una frase que merece ser el cierre de este también, porque da en el clavo de una verdad sencilla y fundamental:
“Step. The. F*ck. Up.”
Traducido al español, vendría a ser: Haced las cosas bien de una maldita vez.
Enlaces de referencia:
- IP Crawl: https://ipcrawl.com/
- Blog técnico de Alec «IP Crawl: Exposing The Massive Open Webcam Crisis»: https://alec.is/posts/ip-crawl-exposing-the-massive-open-webcam-crisis/
- Discusión en Hacker News (192 puntos / 107 comentarios): https://news.ycombinator.com/item?id=48700834
- Artículo relacionado «40,000+ Internet-connected Cameras Exposed Streaming Live»: https://cybersecuritynews.com/40000-internet-connected-cameras-exposed/
- Shodan, motor de búsqueda de IoT: https://www.shodan.io/