Un fallo de seguridad en el sistema de entrada de edificios de la compañía Hirsch, que utiliza contraseñas predeterminadas para la instalación de sus sistemas Enterphone MESH, permite que cualquier usuario pueda controlar el sistema de cierre de forma remota y, por tanto, acceder a los edificios o robar información de los residentes, con solo disponer de la guía de instalación.
Los fabricantes de algunos productos conectados, como es el caso de altavoces, juguetes electrónicos o pulseras de actividad, utilizan contraseñas predeterminadas que vienen preconfiguradas. De esta forma, cuando los usuarios adquieren el producto en cuestión, pueden iniciarlo y acceder a sus servicios utilizando dicha contraseña general. Tras ello, deben configurar su propia clave de uso privado.
Sin embargo, el uso de contraseñas predeterminadas para dispositivos conectados a internet se considera una vulnerabilidad de seguridad según la Common Weakness Enumeration (CWE) ya que, si los usuarios no cambian la contraseña predeterminada, es más fácil para los actores maliciosos eludir la autenticación y acceder a los servicios del producto, ya sea para iniciar sesión suplantando a los propietarios, como para robar datos o secuestrar los dispositivos.
En este sentido, se ha encontrado una vulnerabilidad en el sistema de control de puertas utilizado en Estados Unidos Enterphone MESH que, fabricado por la compañía Hirsch, utiliza una contraseña predeterminada para todos los sistemas y, por tanto, en caso de no ser cambiada, permite que cualquier persona acceda de forma remota al control de las cerraduras de las puertas y, por tanto, a los edificios donde están instalados y a la información de sus residentes.
En concreto, para explotar el fallo, basta con que cualquier usuario utilice la contraseña predeterminada que viene en la guía de instalación del sistema, publicada en web de Hirsch, y la introduzca en la página de inicio de sesión de cualquier sistema Enterphone MESH instalado en un edificio. Tras ello, se puede acceder a la cerradura de forma remota y, por tanto, controlar las puertas y acceder a la información de los usuarios que las utilizan.
Así lo ha detallado el investigador de ciberseguridad Eric Daigle, quien ha identificado este fallo en los sistemas Enterphone MESH como el error de seguridad CVE-2025-26793, que ha sido valorado como "crítico", al no especificar ni solicitar a los administradores de los sistemas que cambien las credenciales predeterminadas en la configuración inicial y, además, requerir muchos pasos para completar este proceso.
Según ha compartido en un comunicado en su blog, Daigle ha alegado que, en su investigación, consiguió entrar en "docenas de edificios de apartamentos en cinco minutos" directamente desde su 'smartphone', utilizando las contraseñas predeterminadas de la compañía.
Tal y como ha explicado, tras buscar el nombre del sistema en Google, accedió al manual de los sistemas Enterphone MESH, que incluía un nombre de usuario (freedom) y una contraseña (viscond). Tras ello, accedió a la página de inicio de sesión de la interfaz web (FREEDOM Administration Login), que también se especifica en el manual.
Una vez dentro, al iniciar sesión con las claves predeterminadas, Daigle pudo obtener acceso al sistema de 'backend', que incluía los nombres completos de los residentes con sus números de unidad y la dirección del edificio en cuestión.
Igualmente, también pudo acceder a un registro en el que se detallaba cada vez que un usuario entraba al edificio o utilizaba el ascensor, lo que proporciona información sensible como, por ejemplo, cuándo esta el usuario fuera de su apartamento.
Con todo ello, Daigle ha señalado que, según el sitio web de escaneo de Internet, ZoomEye, que utilizó para rastrear sistemas Enterphone MESH conectados a Internet, actualmente hay 71 sistemas instalados en edificios que dependen de las credenciales predeterminadas.
Por su parte, desde Hirsch han señalado, en declaraciones a TechCrunch, que el uso de contraseñas predeterminadas por parte de la empresa está "desactualizado", y que es "preocupante" que haya clientes que "instalaron sistemas y no siguen las recomendaciones de los fabricantes", en referencia a la guía de instalación de los sistemas Enterphone MESH.
Últimas Noticias
Argentina abandona la OMS tras cumplirse un año de la notificación de su decisión de retirarse del organismo
Tras un año de trámites diplomáticos, Buenos Aires oficializó la ruptura, citando desacuerdos sobre cómo se gestionó la pandemia. El gobierno de Milei ratificó que priorizará acuerdos bilaterales y decisiones autónomas en políticas de salud
Patxi López ve "muy razonables" las palabras del Rey sobre los "abusos" de España en la conquista de América
El portavoz socialista en la Cámara Baja respaldó la opinión del jefe del Estado acerca de la actuación de los españoles durante la colonización, afirmando que las acciones de aquella época difícilmente encontrarían justificación bajo los valores actuales
La Comunidad asegura que el concierto de Shakira es una "grandísima noticia" a pesar de no conocerse aún dónde se hará
El gobierno regional destaca la importancia del regreso de la artista colombiana, asegura que el anuncio impulsa la proyección internacional de Madrid y confía en que el recinto definitivo se confirmará pronto según declaraciones de Mariano de Paco
OPPO presenta OPPO Find N6, el primer plegable con 'bisagra sin pliegues'
Con una revolucionaria estructura que elimina la marca central en la pantalla y un avanzado sistema de cámaras Hasselblad de 200 MP, el nuevo dispositivo plegable llega a Asia y Oceanía, dejando fuera el mercado europeo
Noboa desmiente a Petro y matiza que Ecuador bombardea grupos colombianos dentro de su frontera
