La vulnerabilidad de acceso en sistemas de control de puertas
Un investigador de seguridad ha descubierto una vulnerabilidad crítica en un sistema de control de acceso a puertas ampliamente utilizado en múltiples edificios de Estados Unidos y Canadá. La empresa Hirsch, que posee el sistema de acceso Enterphone MESH, ha decidido no corregir esta falla, alegando que se trata de un diseño intencionado y que los clientes deberían haber cambiado la contraseña predeterminada al instalar el sistema. Esta situación deja a numerosos edificios residenciales y de oficinas expuestos a un acceso no autorizado, lo que plantea serias preocupaciones sobre la seguridad de los usuarios y la protección de sus datos.
El problema de las contraseñas predeterminadas es un tema recurrente en el ámbito de la tecnología conectada a Internet. Aunque estas contraseñas están diseñadas para facilitar el acceso inicial al cliente, su uso continuado sin modificaciones puede ser una invitación al cibercrimen. Eric Daigle, el investigador que identificó la vulnerabilidad, ha destacado que muchos edificios no han cambiado la contraseña por defecto, ya sea por desconocimiento o negligencia, lo que los deja en una situación vulnerable.
La facilidad de acceso que proporciona esta vulnerabilidad es alarmante y pone en riesgo la seguridad de los edificios afectados.
La vulnerabilidad descubierta
La vulnerabilidad en el sistema de control de acceso Enterphone MESH ha sido formalmente designada como CVE-2025-26793. Este sistema permite a los administradores gestionar el acceso a ascensores, áreas comunes y cerraduras de puertas en oficinas y residencias. Daigle descubrió que al utilizar la contraseña predeterminada, cualquiera podría acceder al sistema de gestión web del MESH, lo que facilitaría el control sobre los accesos a los edificios.
La situación se vuelve más crítica cuando se considera que la vulnerabilidad tiene una calificación de 10 sobre 10 en la escala de severidad de vulnerabilidades, lo que indica que es extremadamente fácil de explotar. Según Daigle, solo se necesita copiar la contraseña predeterminada del manual de instalación del sitio web de Hirsch y usarla en la página de inicio de sesión del sistema de cualquier edificio afectado. Este proceso se puede realizar en cuestión de minutos y sin levantar sospechas, lo que convierte a esta vulnerabilidad en un grave riesgo para la seguridad.
Las implicaciones de este hallazgo son profundas, ya que no solo se trata de un fallo técnico, sino de una cuestión que afecta directamente a la seguridad de las personas que habitan o trabajan en estos edificios.
La postura de Hirsch
A pesar de la gravedad de la situación, Hirsch ha decidido no corregir la vulnerabilidad. La empresa argumenta que el uso de contraseñas predeterminadas es una práctica común y que corresponde a los clientes seguir las instrucciones de instalación y cambiar la contraseña. Este argumento ha sido objeto de críticas, ya que se espera que los fabricantes de tecnología implementen medidas de seguridad más robustas en sus productos.
En una declaración a los medios, un gerente de producto de Hirsch reconoció que el uso de contraseñas predeterminadas es "obsoleto", pero no proporcionó detalles sobre cómo planean abordar esta cuestión en el futuro. La falta de un canal adecuado para que los investigadores de seguridad informen sobre vulnerabilidades también ha sido motivo de preocupación. Sin un mecanismo claro para la divulgación de fallos, el riesgo de explotación se incrementa, dejando a los edificios afectados en una situación precaria.
La falta de respuesta adecuada por parte de Hirsch puede llevar a una mayor exposición de los edificios a ataques cibernéticos, poniendo en peligro la seguridad de sus ocupantes.
Un riesgo creciente
La situación de los edificios expuestos es un claro ejemplo de cómo las decisiones de diseño tomadas en el pasado pueden tener repercusiones graves en el presente. A medida que la tecnología avanza y se vuelve más omnipresente, la seguridad debe ser una prioridad para los fabricantes. El caso de Hirsch subraya la necesidad urgente de que las empresas tomen en serio las vulnerabilidades de sus productos y trabajen para mitigarlas de manera proactiva.
En los últimos años, los gobiernos han comenzado a presionar a los fabricantes de tecnología para que abandonen el uso de contraseñas inseguras. Sin embargo, la resistencia de empresas como Hirsch a cambiar sus prácticas demuestra que todavía queda un largo camino por recorrer en términos de seguridad en la tecnología conectada. Esta falta de acción puede resultar en consecuencias devastadoras para los usuarios finales, quienes confían en que sus sistemas de acceso son seguros.
Consecuencias para los usuarios
Los edificios que aún utilizan la contraseña predeterminada se enfrentan a un alto riesgo de acceso no autorizado. Esto no solo pone en peligro la seguridad física de los ocupantes, sino que también puede llevar a la exposición de datos sensibles. Los administradores de edificios deben ser conscientes de esta vulnerabilidad y tomar medidas inmediatas para cambiar las contraseñas predeterminadas y proteger sus sistemas de control de acceso.
La falta de acción por parte de Hirsch, junto con la falta de concienciación por parte de los clientes sobre la importancia de cambiar las contraseñas, crea un caldo de cultivo perfecto para el cibercrimen. Los atacantes pueden aprovechar esta situación para llevar a cabo robos, espionaje o incluso sabotaje, lo que pone en riesgo la integridad de los edificios y la seguridad de sus ocupantes.
Un llamado a la acción
Es fundamental que tanto los fabricantes como los usuarios tomen en serio la seguridad de sus sistemas de acceso. Las empresas deben implementar prácticas de seguridad más rigurosas, como exigir a los clientes que cambien las contraseñas predeterminadas durante la instalación del sistema. Además, deben proporcionar canales claros para la divulgación de vulnerabilidades, permitiendo a los investigadores de seguridad informar sobre problemas de manera eficiente y segura.
Por otro lado, los usuarios deben ser proactivos en la gestión de la seguridad de sus sistemas. Cambiar las contraseñas predeterminadas debe ser una prioridad al instalar cualquier dispositivo conectado a Internet. La educación y la concienciación sobre las mejores prácticas de seguridad son esenciales para prevenir ataques cibernéticos y proteger la privacidad de los individuos.
La vulnerabilidad en el sistema de control de acceso Enterphone MESH de Hirsch es un recordatorio de que la seguridad no debe ser una reflexión tardía en el diseño de productos tecnológicos. La responsabilidad recae tanto en los fabricantes como en los usuarios para garantizar un entorno seguro en el que vivir y trabajar.
Otras noticias • Seguridad
Hackers norcoreanos amenazan seguridad empresarial y nacional en EE. UU
La infiltración cibernética de Corea del Norte, a través de hackers que se hacen pasar por solicitantes de empleo, representa un grave riesgo para la...
Expuestos datos sensibles de TeslaMate, advierten sobre seguridad
Más de 1.300 servidores de TeslaMate han sido expuestos, revelando datos sensibles de vehículos eléctricos. El investigador Seyfullah Kiliç advierte sobre la falta de seguridad...
Hackers exponen ciberespionaje norcoreano tras infiltrarse en computadora
Saber y cyb0rg, dos hackers, se infiltraron en la computadora de un agente norcoreano, exponiendo operaciones de ciberespionaje y robos cibernéticos. Se consideran hacktivistas, buscando...
Aumento del 17% en búsquedas electrónicas genera preocupaciones de privacidad
Las búsquedas electrónicas en las fronteras de EE. UU. han aumentado un 17%, generando preocupaciones sobre la privacidad y derechos de los viajeros. Aunque se...
Startup de Emiratos ofrece millones por vulnerabilidades cibernéticas
Advanced Security Solutions, una startup de Emiratos Árabes Unidos, ofrece hasta 20 millones de dólares por zero-days, generando preocupación en la comunidad de ciberseguridad. La...
Reino Unido renuncia a acceso especial a sistemas de Apple
El Reino Unido renunció a su demanda de acceso especial a los sistemas en la nube de Apple, evitando una "puerta trasera" que comprometería la...
Allianz Life sufre brecha de datos que afecta a 1.1 millones
En julio de 2023, Allianz Life sufrió una brecha de datos que afectó a 1.1 millones de clientes, robando información personal crítica. El grupo de...
Workday expone datos personales en violación de seguridad cibernética
Workday ha sufrido una violación de datos que expuso información personal de usuarios, aunque no se ha confirmado el impacto en sus clientes. Este incidente...
Lo más reciente
- 1
Controversia en Gmail por supuesta parcialidad en filtros de spam
- 2
Nvidia crece 56% pero enfrenta riesgos por concentración de clientes
- 3
Lumi Max revoluciona el cine portátil con calidad Full HD
- 4
Tesla busca anular veredicto de 243 millones por accidente mortal
- 5
California permite sindicatos para conductores de aplicaciones laborales
- 6
TikTok mejora mensajería con notas de voz y multimedia
- 7
WhatsApp soluciona fallo crítico que expone datos de usuarios