Un investigador de seguridad dice que la contraseña predeterminada enviada en un sistema de control de acceso a la puerta ampliamente utilizado permite a cualquier persona acceder de manera fácil y remota a las cerraduras de las puertas y los controles de ascensores en docenas de edificios en los Estados Unidos y Canadá.
Hirsch, la compañía que ahora posee el sistema de acceso a la puerta de la malla Enterphone, no solucionará la vulnerabilidad, diciendo que el error es por diseño y que los clientes deberían haber seguido las instrucciones de configuración de la compañía y haber cambiado la contraseña predeterminada.
Eso deja a docenas de edificios residenciales y de oficinas expuestos en América del Norte que aún no han cambiado la contraseña predeterminada de su sistema de control de acceso o que no son conscientes de que deberían, según Eric Daigle, quien encontró las docenas de edificios expuestos.
Las contraseñas predeterminadas no son infrecuentes ni necesariamente un secreto en los dispositivos conectados a Internet; Las contraseñas enviadas con productos generalmente están diseñadas para simplificar el acceso de inicio de sesión para el cliente y a menudo se encuentran en su manual de instrucciones. Pero confiar en un cliente para cambiar una contraseña predeterminada para evitar que cualquier acceso malicioso futuro todavía clasifica como una vulnerabilidad de seguridad dentro del producto en sí.
En el caso de los productos de entrada de la puerta de Hirsch, los clientes que instalan el sistema no se solicitan ni se requiere para cambiar la contraseña predeterminada.
Como tal, a Daigle se le atribuye el descubrimiento del error de seguridad, designado formalmente como CVE-2025-26793.
Sin solución planificada
Las contraseñas predeterminadas han sido durante mucho tiempo un problema para los dispositivos conectados a Internet, lo que permite a los piratas informáticos maliciosos usar las contraseñas para iniciar sesión como si fueran el propietario legítimo y robar datos, o secuestrar los dispositivos para aprovechar su ancho de banda para iniciar ciberatios. En los últimos años, los gobiernos han tratado de empujar a los fabricantes de tecnología de usar contraseñas predeterminadas inseguras dados los riesgos de seguridad que presentan.
En el caso del sistema de entrada de la puerta de Hirsch, el error está clasificado como un 10 de 10 en la escala de gravedad de vulnerabilidad, gracias a la facilidad con la que cualquiera puede explotarlo. Hablando prácticamente, explotar el error es tan simple como tomar la contraseña predeterminada de la guía de instalación del sistema en el sitio web de Hirsch y conectar la contraseña a la página de inicio de sesión orientada a Internet en el sistema de cualquier edificio afectado.
En una publicación de blog, Daigle dijo que encontró la vulnerabilidad el año pasado después de descubrir uno de los paneles de entrada de la puerta de la malla Enterphone de Hirsch en un edificio en su ciudad natal de Vancouver. Daigle utilizó el sitio de escaneo de Internet Zoomeye para buscar sistemas de malla Enterphone que estaban conectados a Internet, y encontraron 71 sistemas que aún dependían de las credenciales de envío predeterminado.
Daigle dijo que la contraseña predeterminada permite el acceso al sistema de backend basado en la web de Mesh, que los gerentes de construcción utilizan para administrar el acceso a ascensores, áreas comunes y cerraduras de oficina y puerta residencial. Cada sistema muestra la dirección física del edificio con el sistema de malla instalado, lo que permite a cualquier persona iniciar sesión para saber a qué edificio tenía acceso.
Daigle dijo que era posible entrar efectivamente en cualquiera de las docenas de edificios afectados en minutos sin atraer ninguna atención.
TechCrunch intervino porque Hirsch no tiene los medios, como una página de divulgación de vulnerabilidad, para que miembros del público como Daigle denuncien una falla de seguridad a la empresa.
El CEO de Hirsch, Mark Allen, no respondió a la solicitud de comentarios de TechCrunch, sino que se aplazó a un gerente senior de productos de Hirsch, quien le dijo a TechCrunch que el uso de contraseñas predeterminados de la compañía está “desactualizado” (sin decir cómo). El gerente de producto dijo que era “igualmente preocupante” que hay clientes que “instalaron sistemas y no siguen las recomendaciones de los fabricantes”, refiriéndose a las propias instrucciones de instalación de Hirsch.
Hirsch no se comprometió a revelar públicamente los detalles sobre el error, pero dijo que había contactado a sus clientes sobre seguir el manual de instrucciones del producto.
Con Hirsch que no está dispuesto a arreglar el error, es probable que algunos edificios, y sus ocupantes, permanezcan expuestos. El error muestra que las opciones de desarrollo de productos de antaño pueden volver a tener implicaciones del mundo real años después.
