Vulnerabilidad crítica en Enterphone MESH expone edificios a riesgos

La vulnerabilidad de acceso en sistemas de control de puertas

Un investigador de seguridad ha descubierto una vulnerabilidad crítica en un sistema de control de acceso a puertas ampliamente utilizado en múltiples edificios de Estados Unidos y Canadá. La empresa Hirsch, que posee el sistema de acceso Enterphone MESH, ha decidido no corregir esta falla, alegando que se trata de un diseño intencionado y que los clientes deberían haber cambiado la contraseña predeterminada al instalar el sistema. Esta situación deja a numerosos edificios residenciales y de oficinas expuestos a un acceso no autorizado, lo que plantea serias preocupaciones sobre la seguridad de los usuarios y la protección de sus datos.

El problema de las contraseñas predeterminadas es un tema recurrente en el ámbito de la tecnología conectada a Internet. Aunque estas contraseñas están diseñadas para facilitar el acceso inicial al cliente, su uso continuado sin modificaciones puede ser una invitación al cibercrimen. Eric Daigle, el investigador que identificó la vulnerabilidad, ha destacado que muchos edificios no han cambiado la contraseña por defecto, ya sea por desconocimiento o negligencia, lo que los deja en una situación vulnerable.

La facilidad de acceso que proporciona esta vulnerabilidad es alarmante y pone en riesgo la seguridad de los edificios afectados.

La vulnerabilidad descubierta

La vulnerabilidad en el sistema de control de acceso Enterphone MESH ha sido formalmente designada como CVE-2025-26793. Este sistema permite a los administradores gestionar el acceso a ascensores, áreas comunes y cerraduras de puertas en oficinas y residencias. Daigle descubrió que al utilizar la contraseña predeterminada, cualquiera podría acceder al sistema de gestión web del MESH, lo que facilitaría el control sobre los accesos a los edificios.

La situación se vuelve más crítica cuando se considera que la vulnerabilidad tiene una calificación de 10 sobre 10 en la escala de severidad de vulnerabilidades, lo que indica que es extremadamente fácil de explotar. Según Daigle, solo se necesita copiar la contraseña predeterminada del manual de instalación del sitio web de Hirsch y usarla en la página de inicio de sesión del sistema de cualquier edificio afectado. Este proceso se puede realizar en cuestión de minutos y sin levantar sospechas, lo que convierte a esta vulnerabilidad en un grave riesgo para la seguridad.

Las implicaciones de este hallazgo son profundas, ya que no solo se trata de un fallo técnico, sino de una cuestión que afecta directamente a la seguridad de las personas que habitan o trabajan en estos edificios.

La postura de Hirsch

A pesar de la gravedad de la situación, Hirsch ha decidido no corregir la vulnerabilidad. La empresa argumenta que el uso de contraseñas predeterminadas es una práctica común y que corresponde a los clientes seguir las instrucciones de instalación y cambiar la contraseña. Este argumento ha sido objeto de críticas, ya que se espera que los fabricantes de tecnología implementen medidas de seguridad más robustas en sus productos.

En una declaración a los medios, un gerente de producto de Hirsch reconoció que el uso de contraseñas predeterminadas es "obsoleto", pero no proporcionó detalles sobre cómo planean abordar esta cuestión en el futuro. La falta de un canal adecuado para que los investigadores de seguridad informen sobre vulnerabilidades también ha sido motivo de preocupación. Sin un mecanismo claro para la divulgación de fallos, el riesgo de explotación se incrementa, dejando a los edificios afectados en una situación precaria.

La falta de respuesta adecuada por parte de Hirsch puede llevar a una mayor exposición de los edificios a ataques cibernéticos, poniendo en peligro la seguridad de sus ocupantes.

Un riesgo creciente

La situación de los edificios expuestos es un claro ejemplo de cómo las decisiones de diseño tomadas en el pasado pueden tener repercusiones graves en el presente. A medida que la tecnología avanza y se vuelve más omnipresente, la seguridad debe ser una prioridad para los fabricantes. El caso de Hirsch subraya la necesidad urgente de que las empresas tomen en serio las vulnerabilidades de sus productos y trabajen para mitigarlas de manera proactiva.

En los últimos años, los gobiernos han comenzado a presionar a los fabricantes de tecnología para que abandonen el uso de contraseñas inseguras. Sin embargo, la resistencia de empresas como Hirsch a cambiar sus prácticas demuestra que todavía queda un largo camino por recorrer en términos de seguridad en la tecnología conectada. Esta falta de acción puede resultar en consecuencias devastadoras para los usuarios finales, quienes confían en que sus sistemas de acceso son seguros.

Consecuencias para los usuarios

Los edificios que aún utilizan la contraseña predeterminada se enfrentan a un alto riesgo de acceso no autorizado. Esto no solo pone en peligro la seguridad física de los ocupantes, sino que también puede llevar a la exposición de datos sensibles. Los administradores de edificios deben ser conscientes de esta vulnerabilidad y tomar medidas inmediatas para cambiar las contraseñas predeterminadas y proteger sus sistemas de control de acceso.

La falta de acción por parte de Hirsch, junto con la falta de concienciación por parte de los clientes sobre la importancia de cambiar las contraseñas, crea un caldo de cultivo perfecto para el cibercrimen. Los atacantes pueden aprovechar esta situación para llevar a cabo robos, espionaje o incluso sabotaje, lo que pone en riesgo la integridad de los edificios y la seguridad de sus ocupantes.

Un llamado a la acción

Es fundamental que tanto los fabricantes como los usuarios tomen en serio la seguridad de sus sistemas de acceso. Las empresas deben implementar prácticas de seguridad más rigurosas, como exigir a los clientes que cambien las contraseñas predeterminadas durante la instalación del sistema. Además, deben proporcionar canales claros para la divulgación de vulnerabilidades, permitiendo a los investigadores de seguridad informar sobre problemas de manera eficiente y segura.

Por otro lado, los usuarios deben ser proactivos en la gestión de la seguridad de sus sistemas. Cambiar las contraseñas predeterminadas debe ser una prioridad al instalar cualquier dispositivo conectado a Internet. La educación y la concienciación sobre las mejores prácticas de seguridad son esenciales para prevenir ataques cibernéticos y proteger la privacidad de los individuos.

La vulnerabilidad en el sistema de control de acceso Enterphone MESH de Hirsch es un recordatorio de que la seguridad no debe ser una reflexión tardía en el diseño de productos tecnológicos. La responsabilidad recae tanto en los fabricantes como en los usuarios para garantizar un entorno seguro en el que vivir y trabajar.