Una única contraseña predeterminada expone el acceso a docenas de edificios de apartamentos

Un investigador de seguridad dice que la contraseña predeterminada enviada en un sistema de control de acceso de puertas ampliamente utilizado permite a cualquier persona acceder de forma fácil y remota a las cerraduras de las puertas y a los controles de los ascensores en docenas de edificios en todo Estados Unidos y Canadá.

Hirsch, la compañía que ahora posee el sistema de acceso a puertas Enterphone MESH, no solucionará la vulnerabilidad, diciendo que el error es intencional y que los clientes deberían haber seguido las instrucciones de configuración de la compañía y cambiado la contraseña predeterminada.

Eso deja docenas de edificios residenciales y de oficinas expuestos en América del Norte que aún no han cambiado la contraseña predeterminada de su sistema de control de acceso o no saben que deberían hacerlo, según Eric Daigle , quien encontró las docenas de edificios expuestos.

Las contraseñas predeterminadas no son poco comunes ni necesariamente un secreto en los dispositivos conectados a Internet; las contraseñas que se envían con los productos suelen estar diseñadas para simplificar el acceso de inicio de sesión para el cliente y suelen encontrarse en su manual de instrucciones. Pero confiar en que un cliente cambie una contraseña predeterminada para evitar futuros accesos maliciosos sigue clasificándose como una vulnerabilidad de seguridad dentro del propio producto.

En el caso de los productos de acceso a puertas de Hirsch, a los clientes que instalan el sistema no se les solicita ni se les exige que cambien la contraseña predeterminada.

Como tal, a Daigle se le atribuyó el descubrimiento del error de seguridad, designado formalmente como CVE-2025-26793 .

Las contraseñas predeterminadas han sido un problema desde hace mucho tiempo para los dispositivos conectados a Internet, lo que permite a los piratas informáticos maliciosos utilizarlas para iniciar sesión como si fueran los legítimos propietarios y robar datos, o secuestrar los dispositivos para aprovechar su ancho de banda para lanzar ciberataques. En los últimos años, los gobiernos han tratado de disuadir a los fabricantes de tecnología de utilizar contraseñas predeterminadas inseguras debido a los riesgos de seguridad que presentan.

En el caso del sistema de entrada de Hirsch, el fallo tiene una calificación de 10 sobre 10 en la escala de gravedad de vulnerabilidad, gracias a la facilidad con la que cualquiera puede explotarlo. En la práctica, explotar el fallo es tan sencillo como tomar la contraseña predeterminada de la guía de instalación del sistema en el sitio web de Hirsch e introducirla en la página de inicio de sesión con acceso a Internet de cualquier sistema del edificio afectado.

En una publicación de blog , Daigle dijo que encontró la vulnerabilidad el año pasado después de descubrir uno de los paneles de entrada de puerta Enterphone MESH fabricados por Hirsch en un edificio en su ciudad natal de Vancouver. Daigle utilizó el sitio de escaneo de Internet ZoomEye para buscar sistemas Enterphone MESH que estuvieran conectados a Internet y encontró 71 sistemas que aún dependían de las credenciales predeterminadas.

Daigle dijo que la contraseña predeterminada permite el acceso al sistema de backend basado en la web de MESH, que los administradores de edificios utilizan para gestionar el acceso a los ascensores, las áreas comunes y las cerraduras de las puertas de las oficinas y las residencias. Cada sistema muestra la dirección física del edificio con el sistema MESH instalado, lo que permite que cualquier persona que inicie sesión sepa a qué edificio tuvo acceso.

Daigle dijo que era posible entrar con eficacia a cualquiera de las docenas de edificios afectados en cuestión de minutos sin llamar la atención.

TechCrunch intervino porque Hirsch no tiene los medios, como una página de divulgación de vulnerabilidades, para que miembros del público como Daigle informen una falla de seguridad a la empresa.

El director ejecutivo de Hirsch, Mark Allen, no respondió a la solicitud de comentarios de TechCrunch, sino que se remitió a un gerente de productos de Hirsch, quien le dijo a TechCrunch que el uso de contraseñas predeterminadas por parte de la empresa está "desactualizado" (sin decir en qué sentido). El gerente de productos dijo que era "igualmente preocupante" que haya clientes que "instalaron sistemas y no siguen las recomendaciones de los fabricantes", refiriéndose a las propias instrucciones de instalación de Hirsch.

Hirsch no se comprometió a revelar públicamente detalles sobre el error, pero dijo que había contactado a sus clientes sobre cómo seguir el manual de instrucciones del producto.

Como Hirsch no está dispuesto a solucionar el problema, es probable que algunos edificios (y sus ocupantes) sigan expuestos. El problema demuestra que las decisiones de desarrollo de productos tomadas en el pasado pueden volver a tener consecuencias reales años después.