ALERTAS | Noticias | 12 MAY 2016

Las contraseñas fuertes continúan teniendo fallos de seguridad

Tags: Seguridad
Debido a que los fabricantes de 'networking' suelen mostrarse reacios a compartir el código fuente de sus productos, la seguridad de los dispositivos y sus contraseñas sufren de brechas de seguridad por no someterse a auditorías. Es una afirmación contrastada en la que coinciden diversos expertos en seguridad.
Networking_rack
Redacción

Desde Juniper, a Fortinet y Cisco, la mayoría de las grandes compañías que comercializan productos de red se han visto involucradas en algún momento en el hecho de haber vendido productos que contienen claves robustas que también plantean riesgos de seguridad en las organizaciones. Este fallo común de desarrollador se ha convertido en un problema generalizado que no parece que vaya a desaparecer a corto plazo, según destaca Alex McGeorge, director de inteligencia de amenazas en la compañía Immunity Inc.

Por desgracia, destaca McGeorge, “las contraseñas con codificación fuerte tienen un problema intrínseco difícil de resolver, y no tienen una fácil solución. La gente se encuentra comprometida de manera constante”.

Las firmas que fabrican equipos de networking suelen ser un gran objetivo de los ciberdelincuentes, puesto que son la puerta de entrada para llegar a obtener a cambio información relevante. Así, las empresas de desarrollo son muy protectoras con su código fuente, porque en ello les va la vida. McGeorge recordaba el caso que Cisco interpuso contra Huawei Technologies, alegando que había robado su código fuente para utilizarlo en productos de su marca.

“Debido a que los vendedores suelen ser muy reacios a compartir con nadie el acceso a su código fuente, la seguridad sufre por no tratarse de algo que es revisado por multitud de expertos”, destaca McGeorge.

Parece un problema difícil de resolver a corto plazo, puesto que las compañías que adquieren el hardware no pueden participar directamente en la mejora del mismo. El código propietario no es auditable, dado que no es público. Podría llegar a exigirse que los fabricantes lo auditen por terceros y compartir dichos resultados, pero no parece que sea una práctica a la que estén dispuestos a acceder las marcas.

Chris Weber, cofundador de Casaba Security, compañía que se dedica a auditar software de código, destaca que “las contraseñas de los productos comercializados suelen ser fáciles de encontrar, ya que suelen suministrarse con los productos. Hay que ser conscientes de que una persona que tenga acceso al producto, puede desmontar el firmware o software y encontrar las contraseñas fácilmente”, destaca Weber.

El riesgo de seguridad de muchas empresas depende de cómo son utilizadas las contraseñas, aunque el envío de la contraseña junto con el software, se convierte en otra potencial brecha de seguridad que puede ser descubierta por personal malicioso.

El problema no desaparecerá a corto plazo por diversas razones. Según destaca Weber, “las personas que trabajan en el desarrollo de estos equipos tienen la necesidad de acceder a diferentes sistemas y compartir el acceso y credenciales. También, los desarrolladores comparten el acceso a los certificados y claves privadas utilizadas para el cifrado y descifrado, por lo que necesitan lugares específicos para almacenar y compartir dichas contraseñas seguras”. También el software tiene que conectarse a otros sistemas para permitir el inicio de sesión. Al enviar la información a una base de datos para poder interactuar, se requiere de inicios de sesión. Como resultado a todas estas situaciones, los desarrolladores difícilmente codifican las contraseñas en el software.

Tener las contraseñas en el software es una cuestión de conveniencia durante los procesos de desarrollo, pero puede volverse en contra. Los desarrolladores pueden comenzar con alguna hipótesis

Ryan Olson, director de inteligencia de amenazas de Palo Alto Networks, destaca que “el rol que el dispositivo reproduce en la empresa determinará el nivel de riesgo que las contraseñas suponen para la seguridad. "El peor escenario es que el dispositivo tenga el control sobre una parte importante de la red y la contraseña permita el acceso completo ", destaca Olson.

En ocasiones, la contraseña codificada está destinada a ser utilizada tan solo como configuración inicial, por lo que los administradores deben modificarla una vez que el dispositivo se ha puesto en marcha y se ha integrado en la infraestructura de red.

En definitiva, las empresas pueden tomar medidas adicionales para protegerse, añadiendo mayor presión sobre los proveedores y fabricantes de dispositivos, con el fin de asegurarse de que las contraseñas no se encuentran fácilmente accesibles. Además, podemos plantearles una serie de preguntas que obliguen a replantearse los procedimientos.

¿Cuenta el proveedor con una tercera compañía especializada para auditar su código fuente?

¿Están disponibles los resultados de la auditoría?

¿Cómo es de seguro el programa de desarrollo del proveedor?

¿Ha utilizado el fabricante medidas adicionales para probar la seguridad de su dispositivo?

¿Cuenta el proveedor con una manera de recuperar el dispositivo si se pierde la contraseña?

Es una información del servicio de noticias de IDG News Service.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información