La base de datos de la plataforma nacional de reconocimiento automático de matrículas de Uzbekistán permaneció durante meses expuesta en internet sin ninguna protección. Cualquier usuario podía acceder a millones de fotografías y vídeos en 4K captados por cámaras de tráfico, junto con las coordenadas exactas de los dispositivos. El incidente ilustra con claridad cómo una mala configuración puede convertir sistemas de “ciudad inteligente” en un grave riesgo de ciberseguridad y privacidad.
Descubrimiento de la filtración en el sistema de cámaras de tráfico de Uzbekistán
El acceso abierto fue identificado por el especialista en seguridad de la información Anurag Sen, que notificó el hallazgo al medio tecnológico TechCrunch. Según la investigación periodística, la base de datos estaba disponible al menos desde septiembre de 2024, pocos meses después de la puesta en marcha del sistema centralizado de monitorización del tráfico.
La vulnerabilidad era elemental: no se exigía ningún tipo de autenticación. El panel web de gestión, con todas sus funciones, era accesible directamente desde la red pública. No se trató de una intrusión sofisticada, sino de un ejemplo clásico de exposición involuntaria de servicios críticos.
Uzbekistán opera alrededor de un centenar de agrupaciones de cámaras de tráfico en grandes ciudades y en nudos viales estratégicos. Los dispositivos están desplegados en Tashkent, Jizzaj, Qarshi, Namangán y en carreteras interurbanas, incluidas rutas cercanas a antiguos puntos de tensión en la frontera con Tayikistán. Estas cámaras ejecutan ANPR/ALPR (Automatic Number Plate Recognition), escanean de forma continua las matrículas, captan a conductores y pasajeros y registran a diario miles de infracciones, desde saltarse un semáforo en rojo hasta circular sin cinturón o con vehículos no registrados.
Datos expuestos, responsables del sistema y riesgos de vigilancia
De acuerdo con el investigador, la base de datos abierta incluía las coordenadas precisas de todas las cámaras y un volumen masivo de imágenes y vídeos en alta resolución de los vehículos que atravesaban los puntos de control. Cada registro estaba acompañado de metadatos detallados: fecha y hora, ubicación, tipo de infracción detectada y matrícula reconocida automáticamente.
Combinados, estos elementos permiten reconstruir con gran precisión los patrones de movimiento de personas y vehículos. Con acceso continuado, un actor malicioso podría elaborar rutas habituales de funcionarios, empresarios, periodistas o ciudadanos extranjeros, identificar horarios previsibles y, en el extremo, planificar seguimientos, emboscadas o rutas alternativas para evitar la detección en la preparación de actividades delictivas.
La plataforma está gestionada por el Departamento de Seguridad Pública del Ministerio del Interior de Uzbekistán. Según TechCrunch, el organismo no respondió a las solicitudes de comentario. El centro nacional de respuesta a incidentes informáticos, UZCERT, se limitó a emitir una confirmación automática de recepción. El sistema se describe como una “inteligent traffic management system” y fue desarrollado por la empresa china Maxvision, proveedora de soluciones de seguridad y videovigilancia para varios países de Oriente Medio, África, América Latina y Asia Central.
Esta combinación de geolocalización, imágenes con rasgos biométricos y marcas temporales es típica de las llamadas bases de datos de “análisis de patrones de vida”. Organismos internacionales de ciberseguridad consideran estos conjuntos de datos como activos de alto valor estratégico, cuyo compromiso puede afectar directamente a la seguridad nacional y a la protección de colectivos sensibles.
Un problema global: vulnerabilidades en sistemas de reconocimiento de matrículas
El caso de Uzbekistán no es aislado. Según informó la revista Wired, a principios de 2024 más de 150 cámaras de reconocimiento de matrículas en Estados Unidos estuvieron accesibles en internet sin protección adecuada. En otro episodio descrito por 404 Media, decenas de dispositivos del proveedor Flock quedaron expuestos, lo que permitió a periodistas observar en tiempo real el tránsito de vehículos.
Los sistemas de reconocimiento automático de matrículas (ANPR/ALPR) se han convertido en un componente habitual de proyectos de smart city para control de tráfico, seguridad pública y automatización de sanciones. Sin embargo, la ciberseguridad suele avanzar más despacio que la expansión funcional. Bases de datos centralizadas y paneles de gestión se conectan a internet con configuraciones por defecto, sin autenticación robusta, sin segmentación de red y con un monitoreo prácticamente inexistente.
Errores de configuración habituales en videovigilancia y smart cities
La experiencia en respuesta a incidentes muestra que muchos de estos fallos no dependen de atacantes sofisticados, sino de errores básicos de diseño y operación:
— paneles de administración expuestos a internet sin autenticación o con credenciales por defecto;
— bases de datos y repositorios en la nube mal configurados y accesibles de forma pública;
— ausencia de segmentación de red, con cámaras y consolas de operador en la misma zona visible desde internet;
— falta de registros de acceso y de monitoreo continuo que permitan detectar accesos indebidos.
Cómo proteger sistemas de videovigilancia y tráfico inteligente
La protección de sistemas nacionales de videovigilancia y gestión de tráfico exige una combinación de medidas organizativas y técnicas. En el plano de la gobernanza, resulta clave establecer requisitos obligatorios de ciberseguridad para infraestructuras críticas, realizar auditorías periódicas e incluir pruebas de penetración y evaluaciones de impacto en la privacidad (Privacy Impact Assessment). También es esencial definir políticas estrictas de minimización y plazos de conservación de los datos.
Desde el punto de vista técnico, las buenas prácticas recomendadas por organismos como ENISA o NIST incluyen:
— alojar paneles de control y bases de datos únicamente en segmentos internos, accesibles solo mediante VPN y autenticación multifactor;
— aplicar el principio de mínimos privilegios para operadores y cuentas de servicio;
— cifrar tanto el tráfico como los repositorios de vídeo e imágenes, usando protocolos actualizados y criptografía certificada;
— mantener al día el firmware de las cámaras y el software servidor, corrigiendo vulnerabilidades conocidas;
— desplegar herramientas de monitoreo del perímetro externo que alerten sobre servicios y puertos expuestos involuntariamente.
El incidente del sistema de reconocimiento de matrículas de Uzbekistán demuestra que cada nueva cámara “inteligente” es, en realidad, un nuevo punto de entrada potencial para ciberataques. A medida que las ciudades integran más sensores y analítica avanzada, las consecuencias de una configuración insegura se amplifican. Para aprovechar las ventajas de la infraestructura inteligente sin convertirla en una herramienta de vigilancia accesible a cualquiera, gobiernos, proveedores tecnológicos y operadores deben incorporar la seguridad por diseño desde la fase de arquitectura y revisar de forma continua sus riesgos. Invertir en ciberseguridad, formación y buenas prácticas no es opcional: es un requisito imprescindible para que las smart cities sean realmente seguras y dignas de confianza.
