Contraseñas por defecto: los grandes deberían dar ejemplo

cerosyunos.jpgMe comentaba mi amigo Daniel Vigueras las características de un nuevo servicio de Teléfonica, el llamado “Línea Vacaciones”. Este servicio permite disponer de otra línea fija en una segunda residencia y activarla sólo las temporadas que se viva en ella. De forma que un cliente que viva por ejemplo en Madrid podría tener otra línea en la playa y activarla sólo los meses de verano. Para activar o desactivar esta segunda línea sólo hay que llamar al 1004, dar una serie de datos y la operadora efectúa la operación. No obstante, desde la página web de información del servicio da otra opción: “Se habilita y deshabilita llamando al 901 xxx xxx desde cualquier teléfono y lugar, con total seguridad gracias a su clave de acceso personalizada…”. Hasta aquí todo bien, lo curioso es como termina la frase: “…(que por defecto es 0000).”. Es decir, que por defecto todo el mundo que contrate el servicio va a tener la misma contraseña, y como uno no conozca que es posible activar o desactivar la línea vía 901 y la cambie, cualquiera podría hacerlo.
Esto no es un hecho aislado, más servicios de Telefónica tienen esta característica e incluso ya hay programas informáticos que explotan de manera masiva estas circunstancias con oscuras intenciones. Sigue leyendo para conocer estos detalles y ver que dice algunas normativas respecto a las contraseñas.

Lo mismo pasa con el servicio de contestador automático: es posible acceder a los mensajes remotamente (desde cualquier teléfono), introduciendo una contraseña que por defecto es también 0000; por suerte, desde hace no mucho tiempo, con la clave por defecto no deja acceder a los mensajes.

Esto puede parecer un comentario sin importancia, pero lo cierto es que el mundo de las “contraseñas por defecto” es explotado constantemente en todos los ámbitos: es posible acceder a routers, aplicaciones, zonas de usuarios privadas, e incluso a webcams si conoces la clave por defecto del producto o servicio. Tarea que además no es nada complicado, para eso tenemos a Google, donde tan sólo deberemos poner la marca y modelo del producto seguido de “clave por defecto” o algo similar, y podremos encontrarla; o bien acudir a alguna de las bases de datos con miles de claves por defecto recopiladas.

Por otro lado, recientemente se ha dado a conocer un código malicioso que podría ser ejecutado simplemente navegando por una web el cual tomaría el control total del router del usuario precisamente utilizando la clave por defecto; esta información la ha publicado la famosa firma Symantec donde afirman que “La mayoría de los usuarios que compran un router dejan la contraseña que trae de fábrica por omisión. Esta circunstancia es aprovechada por un código JavaScript malicioso que utiliza las contraseñas conocidas de estos equipos para hacerse con su control.”

Todos deberíamos ir concienciándonos de la importancia que tiene una contraseña pues en muchos casos la información personal que varias normativas protegen quedan al descubierto cuando las medidas básicas de seguridad fallan; quizá por ello, en lo que a contraseñas se refiere, el Real Decreto 994/1999 en su artículo 11.3 establece que las contraseñas deberán tener un periodo de caducidad determinado cuando el sistema de información trate datos personales, y es más, el borrador del nuevo reglamento de medidas de seguridad para la LOPD fija que ese periodo no podrá ser superior a un año.

La pregunta que procede ahora es ¿Tiene usted activada la contraseña por defecto?

2 comentarios en “Contraseñas por defecto: los grandes deberían dar ejemplo”

  1. Hola Richi. Eres la tercera persona que por internet me pide que hable sobre esto. En principio no tenía pensado comentar nada, pero en vista de que varios lectores lo han pedido (entre ellos tú), y de que los medios de comunicación están soltando barbaridades, voy a escribir sobre el tema en cuestión. Además, creo que podré ofrecer información interesante que en su día pasó inadvertida (igual que ahora), ya que tendremos que remontarnos al año 2000 para entender realmente que pasó.

    Responder

Deja un comentario