El Instituto Nacional de Ciberseguridad (Incibe) ha advertido en varios informes recientes sobre importantes vulnerabilidades en dispositivos de videovigilancia fabricados por la empresa china Hikvision, una compañía señalada en repetidas ocasiones por sus vínculos con el Gobierno de Pekín. Esta firma, con amplia presencia en el mercado internacional, ha sido vetada por países como Estados Unidos, Canadá o Australia, al considerar que sus productos pueden representar una amenaza para la seguridad nacional.

A pesar de estas restricciones, cámaras Hikvision siguen activas en España, incluso en instalaciones estratégicas. Los Ministerios como Interior, Hacienda o Presidencia, además de entidades como Renfe, ADIF, RTVE, Correos o numerosos ayuntamientos, han adoptado esta tecnología, distribuida por empresas europeas que han superado los procesos de contratación pública.

En 2022, Incibe notificó dos vulnerabilidades relevantes en productos de la compañía que podían facilitar la ejecución remota de comandos o ataques del tipo XSS. Un año después, en 2023, se detectaron nuevas debilidades que permitían desde el secuestro de sesiones hasta la modificación de parámetros críticos del sistema, según han revelado investigaciones apoyadas por el Centro de Excelencia en Ciberdefensa Cooperativa de la OTAN.

En noviembre del mismo año, se descubrió un fallo crítico en el módulo Hik-Connect que abría la puerta a accesos no autorizados desde el exterior, mediante mensajes manipulados. Durante 2024 han continuado las alertas. Entre ellas, se reportaron fallos que permiten a usuarios con permisos elevados ejecutar comandos arbitrarios o acceder a recursos restringidos.