He reportado vía email, un "grave" fallo de seguridad en la red WIFI de un servicio de transporte público en Rota (Cádiz).
El fallo en si, es que siguen manteniendo los mismos datos de acceso al "router" (usuario y contraseñas que vienen por defecto) desde la intranet, esto quiere decir, que cualquier usuario que se conecte a la red WIFI (la red está protegida con WPA pero ellos ofrecen la clave a sus clientes para dar un buen servicio) podría "desconfigurar" el router cambiando datos de acceso a él, modificando el SSID (nombre de la red WIFI), modificando el canal de emisión, cambiando la clave o desactivarla, poner la red "invisible" o incluso desactivar el WIFI.
Por este motivo, me he visto a escribirles un email para que resuelvan el problema lo antes posible.
Copia del email:
Buenos días,
La pasada semana estuve viajando en *********** Cádiz/Rota y Rota/Cádiz todo de "categoría". Pero mi email no va sobre vuestros servicios, va sobre la poca seguridad que encontré en vuestra red wifi (en Rota).
Mientras esperaba a que llegara el **********, me dió tiempo de realizar una pruebas (pentesting) desde mi iPhone, pude comprobar que no habéis cambiado las credenciales de acceso a vuestro router (tenéis las que viene por defecto usuario/password: *****/*****) y que usáis un cifrado 128 bits en WPA, en vez de utilizar la encriptación por WPA2 que es mas segura. (aunque de poco sirve si ofrecéis la clave a vuestros clientes para que dispongan de WIFI gratis, es por esto mi preocupación). Cualquiera que tenga un poco de conocimientos de informática, accediendo a la siguiente IP ****.***.**.*** (conectado por WIFI, claro) puede disponer del control total de vuestro router, inutilizándolo, modificando la clave, el nombre de la red, etc...
Os dejo unas capturas de pantalla que hice con mi móvil:
Me he visto obligado a escribiros para que corrijáis lo antes posible el problema, así todos podremos seguir usando vuestros servicios de manera mas segura.
Un cordial saludo.
Fin del email.
Configurando el router
Este fallo es muy típico, mas por "dejadez" que por "ignorancia", sea cual sea nos puede dar un disgusto, y más, si somos una empresa que disponemos de este servicio para nuestros clientes.
No he querido hacer un tutorial, ya hay muchos (y muy buenos) en la red, por ejemplo este:
- Cómo configurar un router de forma correcta
Todos podemos ser víctimas del "cibercrimen", no se lo pongamos fácil a nadie.
0 comentarios: