aquatarkus/imágenes falsas
Usted sabe que se supone que debe limpiar su teléfono inteligente o computadora portátil antes de revenderlo o dárselo a su primo. Después de todo, hay una gran cantidad de datos personales valiosos que deben permanecer bajo su control. Las empresas y otras instituciones deben adoptar el mismo enfoque, eliminando su información de las PC, servidores y equipos de red para que no caiga en las manos equivocadas. Sin embargo, en la conferencia de seguridad de RSA en San Francisco la próxima semana, los investigadores de la firma de seguridad ESET presentarán hallazgos que muestran que más de la mitad de los enrutadores empresariales de segunda mano que compraron para probarlos habían sido dejados completamente intactos por sus dueños anteriores. Y los dispositivos rebosaban de información de red, credenciales y datos confidenciales sobre las instituciones a las que habían pertenecido.
Los investigadores compraron 18 enrutadores usados en diferentes modelos fabricados por tres proveedores principales: Cisco, Fortinet y Juniper Networks. De ellos, nueve estaban tal como los habían dejado sus dueños y totalmente accesibles, mientras que solo cinco habían sido limpiados adecuadamente. Dos estaban encriptados, uno estaba muerto y el otro era una copia espejo de otro dispositivo.
Los nueve dispositivos desprotegidos contenían credenciales para la VPN de la organización, credenciales para otro servicio de comunicación de red segura o contraseñas de administrador raíz codificadas. Y todos ellos incluían suficientes datos de identificación para determinar quién había sido el propietario u operador anterior del enrutador.
Ocho de los nueve dispositivos desprotegidos incluían claves de autenticación de enrutador a enrutador e información sobre cómo se conectaba el enrutador a aplicaciones específicas utilizadas por el propietario anterior. Cuatro dispositivos expusieron las credenciales para conectarse a las redes de otras organizaciones, como socios de confianza, colaboradores u otros terceros. Tres contenían información sobre cómo una entidad podría conectarse como un tercero a la red del propietario anterior. Y dos contenían directamente datos de clientes.
“Un enrutador central toca todo en la organización, por lo que sé todo sobre las aplicaciones y el carácter de la organización; hace que sea muy, muy fácil hacerse pasar por la organización”, dice Cameron Camp, el investigador de seguridad de ESET que lideró el proyecto. “En un caso, este gran grupo tenía información privilegiada sobre una de las firmas contables más grandes y una relación directa con ellos. Y ahí es donde para mí comienza a asustarme, porque somos investigadores, estamos aquí para ayudar, pero ¿dónde están el resto de esos enrutadores?».