Un investigador de seguridad ha alertado sobre una grave vulnerabilidad en un sistema de control de acceso de puertas, utilizado en numerosos edificios en Estados Unidos y Canadá. La empresa Hirsch, propietaria del sistema Enterphone MESH, ha decidido no corregir esta falla, argumentando que la configuración actual es parte del diseño del producto. Esto deja a muchos edificios expuestos, ya que muchos usuarios no han cambiado la contraseña predeterminada o no son conscientes de la necesidad de hacerlo.
El problema de las contraseñas predeterminadas
Las contraseñas predeterminadas no son un fenómeno raro en dispositivos conectados a Internet. Estas contraseñas suelen estar diseñadas para facilitar el acceso inicial al cliente y se encuentran comúnmente en los manuales de usuario. Sin embargo, depender de que los usuarios cambien estas contraseñas para evitar accesos maliciosos se considera una vulnerabilidad de seguridad inherente al producto. En el caso de los productos de entrada de Hirsch, los clientes no son advertidos ni obligados a modificar la contraseña predeterminada durante la instalación.
Consecuencias de la vulnerabilidad
La vulnerabilidad, identificada como CVE-2025-26793, ha sido calificada con un 10 sobre 10 en la escala de severidad de vulnerabilidades, lo que indica lo fácil que es para un atacante aprovecharla. La explotación de esta falla es tan simple como utilizar la contraseña predeterminada que se encuentra en la guía de instalación del sistema y acceder a la página de inicio de sesión de cualquier edificio afectado. Esto permite a los intrusos acceder al sistema de gestión de acceso, que controla elevadores y cerraduras de puertas, poniendo en riesgo la seguridad de los residentes y empleados.
La falta de respuesta de Hirsch
A pesar de la gravedad de la situación, Hirsch no ha tomado medidas para corregir la vulnerabilidad. La empresa ha indicado que ha contactado a sus clientes para recordarles que sigan las instrucciones de instalación, pero no ha proporcionado un medio adecuado para que los usuarios informen sobre fallas de seguridad. Esto ha llevado a que muchos edificios y sus ocupantes permanezcan en riesgo, lo que resalta la importancia de que los fabricantes de tecnología adopten prácticas más seguras en el diseño de sus productos.
La situación actual pone de manifiesto cómo decisiones de desarrollo de productos del pasado pueden tener repercusiones significativas en la seguridad de los usuarios años después. La comunidad tecnológica y los reguladores deben trabajar juntos para asegurar que las contraseñas predeterminadas sean eliminadas o que se implementen medidas que obliguen a los usuarios a cambiarlas durante la instalación.
