Una vulnerabilidad en el sistema Enterphone MESH permite acceder a puertas y ascensores en edificios de EE. UU. y Canadá sin autorización
Notipress.- A raíz de una vulnerabilidad de alto riesgo en el sistema de control de acceso Enterphone MESH, instalado en múltiples edificios residenciales y de oficinas en Estados Unidos y Canadá, docenas de inmuebles quedaron expuestos debido al uso de una contraseña predeterminada que no fue actualizada. Esta falla permite que cualquier persona pueda acceder de forma remota a cerraduras de puertas, controles de ascensores y áreas comunes sin necesidad de autorización previa, según advirtió el investigador de seguridad Eric Daigle.
El sistema, actualmente propiedad de la empresa Hirsch, continúa operando con una configuración la cual incluye credenciales predeterminadas fácilmente accesibles desde el manual del producto. La compañía confirmó que no corregirá esta vulnerabilidad, argumentando que el error es intencional y los clientes deberían haber seguido las recomendaciones de seguridad.
Dicho fallo fue registrado oficialmente bajo el código CVE-2025-26793 y recibió la calificación máxima de 10 sobre 10 en la escala de gravedad de vulnerabilidades. Esta puntuación refleja la facilidad con la que puede ser explotado por actores malintencionados. Según explicó Daigle, cualquier persona podría obtener la contraseña predeterminada directamente del manual disponible en línea e ingresarla en el portal web del sistema afectado para acceder al control total del edificio.
La vulnerabilidad fue descubierta en 2023 cuando Daigle identificó uno de los paneles Enterphone MESH en un edificio de su ciudad natal, Vancouver. Posteriormente, utilizó la herramienta de escaneo en línea ZoomEye para localizar otros sistemas similares conectados a Internet y encontró al menos 71 sistemas activos que aún utilizaban las credenciales predeterminadas. Estos sistemas permiten a los administradores gestionar el acceso a ascensores, áreas comunes y cerraduras en oficinas y residencias. Además, los paneles muestran la dirección física de los edificios, lo que amplía los riesgos de acceso no autorizado.
“Era posible ingresar a cualquiera de los edificios afectados en cuestión de minutos sin levantar sospechas”, afirmó Daigle en una publicación de blog. El investigador también detalló el proceso de descubrimiento de la vulnerabilidad.
A pesar de la gravedad del problema, Hirsch carece de un canal oficial para que el público reporte fallos de seguridad. TechCrunch intentó obtener una declaración del director ejecutivo de la compañía, Mark Allen, pero no obtuvo respuesta directa. En cambio, fue remitido a un gerente de productos el cual reconoció que la práctica de utilizar contraseñas predeterminadas está “desactualizada”.
Hirsch comunicó a sus clientes la necesidad de seguir el manual de instalación para cambiar la contraseña predeterminada. De todas maneras no implementó medidas técnicas para forzar esta actualización ni anunció una solución definitiva.
Espero que esta publicación sea de tu interés. Me gustaría seguir en contacto contigo. Por lo cual te dejo mis principales redes para dialogar y comentar los temas de interés para la sociedad y nosotros.
