Un fallo de seguridad en el sistema de entrada de edificios de la compañía Hirsch, que utiliza contraseñas predeterminadas para la instalación de sus sistemas Enterphone MESH, permite que cualquier usuario pueda controlar el sistema de cierre de forma remota y, por tanto, acceder a los edificios o robar información de los residentes, con solo disponer de la guía de instalación.
Los fabricantes de algunos productos conectados, como es el caso de altavoces, juguetes electrónicos o pulseras de actividad, utilizan contraseñas predeterminadas que vienen preconfiguradas. De esta forma, cuando los usuarios adquieren el producto en cuestión, pueden iniciarlo y acceder a sus servicios utilizando dicha contraseña general. Tras ello, deben configurar su propia clave de uso privado.
Sin embargo, el uso de contraseñas predeterminadas para dispositivos conectados a internet se considera una vulnerabilidad de seguridad según la Common Weakness Enumeration (CWE) ya que, si los usuarios no cambian la contraseña predeterminada, es más fácil para los actores maliciosos eludir la autenticación y acceder a los servicios del producto, ya sea para iniciar sesión suplantando a los propietarios, como para robar datos o secuestrar los dispositivos.
En este sentido, se ha encontrado una vulnerabilidad en el sistema de control de puertas utilizado en Estados Unidos Enterphone MESH que, fabricado por la compañía Hirsch, utiliza una contraseña predeterminada para todos los sistemas y, por tanto, en caso de no ser cambiada, permite que cualquier persona acceda de forma remota al control de las cerraduras de las puertas y, por tanto, a los edificios donde están instalados y a la información de sus residentes.
En concreto, para explotar el fallo, basta con que cualquier usuario utilice la contraseña predeterminada que viene en la guía de instalación del sistema, publicada en web de Hirsch, y la introduzca en la página de inicio de sesión de cualquier sistema Enterphone MESH instalado en un edificio. Tras ello, se puede acceder a la cerradura de forma remota y, por tanto, controlar las puertas y acceder a la información de los usuarios que las utilizan.
Así lo ha detallado el investigador de ciberseguridad Eric Daigle, quien ha identificado este fallo en los sistemas Enterphone MESH como el error de seguridad CVE-2025-26793, que ha sido valorado como "crítico", al no especificar ni solicitar a los administradores de los sistemas que cambien las credenciales predeterminadas en la configuración inicial y, además, requerir muchos pasos para completar este proceso.
Según ha compartido en un comunicado en su blog, Daigle ha alegado que, en su investigación, consiguió entrar en "docenas de edificios de apartamentos en cinco minutos" directamente desde su 'smartphone', utilizando las contraseñas predeterminadas de la compañía.
Tal y como ha explicado, tras buscar el nombre del sistema en Google, accedió al manual de los sistemas Enterphone MESH, que incluía un nombre de usuario (freedom) y una contraseña (viscond). Tras ello, accedió a la página de inicio de sesión de la interfaz web (FREEDOM Administration Login), que también se especifica en el manual.
Una vez dentro, al iniciar sesión con las claves predeterminadas, Daigle pudo obtener acceso al sistema de 'backend', que incluía los nombres completos de los residentes con sus números de unidad y la dirección del edificio en cuestión.
Igualmente, también pudo acceder a un registro en el que se detallaba cada vez que un usuario entraba al edificio o utilizaba el ascensor, lo que proporciona información sensible como, por ejemplo, cuándo esta el usuario fuera de su apartamento.
Con todo ello, Daigle ha señalado que, según el sitio web de escaneo de Internet, ZoomEye, que utilizó para rastrear sistemas Enterphone MESH conectados a Internet, actualmente hay 71 sistemas instalados en edificios que dependen de las credenciales predeterminadas.
Por su parte, desde Hirsch han señalado, en declaraciones a TechCrunch, que el uso de contraseñas predeterminadas por parte de la empresa está "desactualizado", y que es "preocupante" que haya clientes que "instalaron sistemas y no siguen las recomendaciones de los fabricantes", en referencia a la guía de instalación de los sistemas Enterphone MESH.
Últimas Noticias
Rocío Flores asegura que no está grabando un documental de su vida
Tras la controversia generada por datos personales divulgados años atrás, la joven recalca que no hay ningún encargo televisivo propio en camino, prioriza la calma y descarta participar en relatos biográficos sobre su historia personal o familiar
Joan Laporta: "El Real Madrid representa el poder y el Barça, la libertad"
Laporta asegura que la continuidad en la presidencia del Barcelona solo dependerá del respeto a los plazos internos y rechaza cualquier paralelismo con líderes que prolongan su mandato, defendiendo diferencias profundas con el Real Madrid dentro y fuera del campo
Acusado un hombre de colocar bombas caseras en la víspera del asalto al Capitolio de EEUU
La captura de Brian Cole Jr., sospechoso de instalar artefactos explosivos cerca de sedes partidarias en Washington, fue anunciada tras una larga pesquisa, permitiendo nuevas órdenes y abriendo la posibilidad de que se formulen cargos contra más involucrados
Agenda gráfica para el día 5 de diciembre de 2025
Reuniones políticas, actos institucionales y movilizaciones sindicales marcan la cobertura informativa en ciudades como Madrid, Valencia, Barcelona y Vitoria, además de avances sobre conflictos internacionales y eventos deportivos relevantes a nivel nacional e internacional
AV. Las 'Guerreras' siguen vivas para los cruces del Mundial
Un contundente triunfo ante Islandia mantiene a la selección española de balonmano femenino en la pelea por la clasificación a cuartos del Campeonato del Mundo, favorecidas además por el empate entre Serbia e Islas Feroe en la otra llave del grupo
