lunes, 2 de marzo de 2015

”super” como clave maestra, o la seguridad de los servicios masivos

”super”. Así, tal cual suena, y en minúsculas. Podría haber sido “admin” o “1234”, pero a alguien se le ocurrió que fuera “super”. Y así, tal cual, en texto claro, dentro de un archivo de configuración.


“super” es la nueva llave maestra en el mundo de routers domésticos. El fallo de un router llevó a unos investigadores a realizar ingeniería social sobre el firmware, para encontrarse con que el par “super”-”super” podía ser usado para loguearse en la página web del router de la compañía. No terminaron allí, sino que quisieron probar suerte con otras marcas, y ¡voilà! 10 fabricantes de routers incorporan el mismo backdoor.

No es el único dispositivo que acapara portadas en el día de hoy. Los NAS de Seagate contienen varios exploits conocidos basados en actualizaciones parciales de algunos de los elementos que usan. A saber, una versión antigua de PHP sirve como entrada para realizar varios secuestros del dispositivo en remoto.

La seguridad de estos sistemas conectados a internet queda en entredicho, y contrasta con la aceleración sufrida en materia de ciberseguridad de las aplicaciones over the top para smartphones y tablets. Parece que las numerosas (y cuantiosas) brechas de seguridad en servicios digitales está llevando a desarrolladores y empresas a destinar cada vez un número mayor de recursos en seguridad y privacidad de los datos, principalmente para mensajería instantánea, navegadores, aplicaciones de customización, acceso a documentos y edición en el mundo smartphone, y edición y acceso de documentos, aplicaciones de customización, navegadores y herramientas de venta en el mundo tablet.

Todo esto bajo el prisma de la seguridad en la nube. ¿Es hora de confiar en la nube? ¿Otorgan los servicios conectados a la red la seguridad suficiente como para que demos de una vez por todas el salto? Son preguntas complejas de responder, más cuando los problemas derivados de la nube pueden venir de malas configuraciones o desarrollos en dispositivos físicos que integran el sistema, como esos routers accesibles mediante el par “super”-”super” o un NAS vulnerable a ataques ya conocidos. O incluso de la propia gestión de servicios externos, como un market de aplicaciones o una librería específica de un sistema operativo móvil.

¿Deberíamos confiar entonces en la nube?

0 comentarios:

Publicar un comentario