El uso de contraseñas predeterminadas para un sistema de entrada de edificios permite controlar el acceso en remoto

Los fabricantes de algunos productos conectados, como es el caso de altavoces, juguetes electrónicos o pulseras de actividad, utilizan contraseñas predeterminadas que vienen preconfiguradas. De esta forma, cuando los usuarios adquieren el producto en cuestión, pueden iniciarlo y acceder a sus servicios utilizando dicha contraseña general. Tras ello, deben configurar su propia clave de uso privado.

Sin embargo, el uso de contraseñas predeterminadas para dispositivos conectados a internet se considera una vulnerabilidad de seguridad según la Common Weakness Enumeration (CWE) ya que, si los usuarios no cambian la contraseña predeterminada, es más fácil para los actores maliciosos eludir la autenticación y acceder a los servicios del producto, ya sea para iniciar sesión suplantando a los propietarios, como para robar datos o secuestrar los dispositivos.

En este sentido, se ha encontrado una vulnerabilidad en el sistema de control de puertas utilizado en Estados Unidos Enterphone MESH que, fabricado por la compañía Hirsch, utiliza una contraseña predeterminada para todos los sistemas y, por tanto, en caso de no ser cambiada, permite que cualquier persona acceda de forma remota al control de las cerraduras de las puertas y, por tanto, a los edificios donde están instalados y a la información de sus residentes.

En concreto, para explotar el fallo, basta con que cualquier usuario utilice la contraseña predeterminada que viene en la guía de instalación del sistema, publicada en web de Hirsch, y la introduzca en la página de inicio de sesión de cualquier sistema Enterphone MESH instalado en un edificio. Tras ello, se puede acceder a la cerradura de forma remota y, por tanto, controlar las puertas y acceder a la información de los usuarios que las utilizan.

Así lo ha detallado el investigador de ciberseguridad Eric Daigle, quien ha identificado este fallo en los sistemas Enterphone MESH como el error de seguridad CVE-2025-26793, que ha sido valorado como «crítico», al no especificar ni solicitar a los administradores de los sistemas que cambien las credenciales predeterminadas en la configuración inicial y, además, requerir muchos pasos para completar este proceso.

Según ha compartido en un comunicado en su blog, Daigle ha alegado que, en su investigación, consiguió entrar en «docenas de edificios de apartamentos en cinco minutos» directamente desde su 'smartphone', utilizando las contraseñas predeterminadas de la compañía.

Tal y como ha explicado, tras buscar el nombre del sistema en Google, accedió al manual de los sistemas Enterphone MESH, que incluía un nombre de usuario (freedom) y una contraseña (viscond). Tras ello, accedió a la página de inicio de sesión de la interfaz web (FREEDOM Administration Login), que también se especifica en el manual.

Una vez dentro, al iniciar sesión con las claves predeterminadas, Daigle pudo obtener acceso al sistema de 'backend', que incluía los nombres completos de los residentes con sus números de unidad y la dirección del edificio en cuestión.

Igualmente, también pudo acceder a un registro en el que se detallaba cada vez que un usuario entraba al edificio o utilizaba el ascensor, lo que proporciona información sensible como, por ejemplo, cuándo esta el usuario fuera de su apartamento.

Con todo ello, Daigle ha señalado que, según el sitio web de escaneo de Internet, ZoomEye, que utilizó para rastrear sistemas Enterphone MESH conectados a Internet, actualmente hay 71 sistemas instalados en edificios que dependen de las credenciales predeterminadas.

Por su parte, desde Hirsch han señalado, en declaraciones a TechCrunch, que el uso de contraseñas predeterminadas por parte de la empresa está «desactualizado», y que es «preocupante» que haya clientes que "instalaron sistemas y no siguen las recomendaciones de los fabricantes", en referencia a la guía de instalación de los sistemas Enterphone MESH.