Câmaras IoT: quando a segurança física abre a porta ao ataque informático
Em 30 segundos
Os dispositivos que compramos para reforçar a segurança física — câmaras IP, sensores, fechaduras, alarmes — ligam-se, quase sempre, à mesma rede onde estão o ERP, os servidores e os ficheiros. Mal configurados, deixam de ser proteção e passam a porta de entrada. Plataformas como o Shodan mostram-nos expostos na Internet. A boa notícia: muitas vezes não é preciso investir — basta uma decisão de arquitetura, a começar pela segmentação da rede.
«Comprei umas câmaras na Amazon. Foi só ligar e já estava a funcionar.» É uma frase que oiço cada vez mais — e é exatamente isso que me preocupa.
«Foi só ligar» — e é aí que começa o problema
Hoje qualquer empresa compra câmaras IP, sensores, fechaduras inteligentes ou sistemas de alarme por poucas dezenas de euros. Ligam-se à rede, instala-se a aplicação, e está feito. Ou pelo menos é o que parece.
Onde é que a câmara foi mesmo parar
O que muitas empresas não sabem é que esses equipamentos ficam, quase sempre, ligados à mesma rede onde estão o ERP, os computadores, os ficheiros, os emails e os servidores. Ou seja: um equipamento comprado para reforçar a segurança física pode, se estiver mal configurado, tornar-se a porta de entrada para um ataque informático. Muitas vezes, o problema não é a câmara. É o sítio onde a ligámos.
O Shodan não invade — indexa
Muitos destes dispositivos são facilmente identificáveis na Internet através de plataformas como o Shodan. O Shodan não invade sistemas: indexa dispositivos expostos, mostra que serviços estão ativos e, em alguns casos, até a versão do software que estão a utilizar. É informação extremamente útil para quem quer defender. E também para quem quer atacar. A diferença entre os dois lados é, muitas vezes, apenas quem chega primeiro.
A boa notícia: arquitetura vale mais do que investimento
Muitas vezes, uma decisão sobre o desenho da rede protege mais do que qualquer compra. Por onde começar:
- Segmentar a rede. Colocar os dispositivos IoT numa VLAN separada da rede onde trabalham os utilizadores e os sistemas críticos. Se uma câmara for comprometida, o atacante fica preso nesse segmento.
- Mudar as credenciais de fábrica. As passwords que vêm de origem são públicas e conhecidas — é o primeiro alvo de quem procura dispositivos expostos.
- Não expor à Internet. Nada de port forwarding direto para uma câmara; o acesso remoto deve passar por VPN. Convém também desligar o UPnP no router, que abre portas automaticamente sem ninguém pedir.
- Manter o firmware atualizado. É onde se corrigem as vulnerabilidades que ferramentas como o Shodan ajudam a encontrar.
- Saber o que está ligado. Um inventário dos dispositivos da rede — o que existe, o que faz, com quem comunica.
Isto também é NIS2
Segmentar a rede e manter um inventário de ativos não são só boas práticas: são medidas de gestão de risco que o novo Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025) espera de muitas organizações portuguesas. Fazer bem o básico da arquitetura é, ao mesmo tempo, reduzir risco e caminhar para a conformidade. Se ainda tem dúvidas sobre se a sua empresa está abrangida, escrevemos um guia direto sobre a NIS2 em Portugal.
O que fazer com isto
Na cibersegurança, pequenas decisões de arquitetura fazem uma enorme diferença. Antes da próxima câmara ou sensor, vale a pena perguntar não só «funciona?», mas «onde é que isto vai ficar ligado, e a que é que passa a ter acesso?». Porque, muitas vezes, o problema não é a câmara. É o sítio onde a ligámos.
Sabe o que da sua empresa está exposto na Internet?
Ajudamos a mapear os dispositivos ligados à sua rede, a segmentá-los e a fechar o que não devia estar aberto — com firewalls OPNsense geridas e monitorização contínua.
Resposta em menos de 24 horas.
A primeira conversa é gratuita e sem compromisso.
Avaliar a minha rede