Una vulnerabilidad en un sistema de control de acceso inteligente utilizado en miles de viviendas de alquiler en Estados Unidos permite a cualquier persona controlar de forma remota cualquier cerradura de una casa afectada. Pero Chirp Systems, la empresa que fabrica el sistema, ignoró las solicitudes para corregir la falla.

La agencia estadounidense de ciberseguridad CISA hizo público un aviso de seguridad la semana pasada diciendo que las aplicaciones telefónicas desarrolladas por Chirp, que los residentes usan en lugar de una llave para acceder a sus hogares, «almacenan incorrectamente» credenciales codificadas que pueden usarse para controlar remotamente cualquier Chirp- cerradura inteligente compatible.

Las aplicaciones que dependen de contraseñas almacenadas en su código fuente, conocidas como credenciales de codificación, son un riesgo para la seguridad porque cualquiera puede extraer y usar esas credenciales para realizar acciones que se hagan pasar por la aplicación. En este caso, las credenciales podrían ser utilizadas por cualquiera para bloquear o desbloquear de forma remota una cerradura de puerta conectada a Chirp a través de Internet.

En su aviso, CISA dijo que la explotación exitosa de la falla «podría permitir a un atacante tomar el control y obtener acceso físico sin restricciones» a las cerraduras inteligentes conectadas a un sistema doméstico inteligente Chirp. La agencia de ciberseguridad otorgó una puntuación de gravedad de la vulnerabilidad de 9,1 sobre un máximo de 10 por su “baja complejidad de ataque” y por su capacidad de ser explotada de forma remota.

La agencia de ciberseguridad dijo que Chirp Systems no había respondido ni a CISA ni al investigador que encontró la vulnerabilidad.

El investigador de seguridad Matt Brown le dijo al veterano periodista de seguridad Brian Krebs que notificó a Chirp sobre el problema de seguridad en marzo de 2021, pero que la vulnerabilidad sigue sin solucionarse.

Poco después de la publicación, Chirp dijo en un comunicado que no encontró “ninguna evidencia que respalde las afirmaciones” en el aviso. CISA actualizó su aviso para señalar que Chirp está «desarrollando un parche para abordar los problemas».

Chirp Systems es una de un número creciente de empresas en el espacio de tecnología inmobiliaria que brindan controles de acceso sin llave que se integran con tecnologías de hogares inteligentes a gigantes del alquiler. Las empresas de alquiler obligan cada vez más a los inquilinos a permitir la instalación de equipos domésticos inteligentes según lo dictan sus contratos de arrendamiento, pero en el mejor de los casos no está claro quién asume la responsabilidad o la propiedad cuando surgen problemas de seguridad.

El gigante inmobiliario y de alquiler Camden Property Trust firmó un acuerdo en 2020 para implementar cerraduras inteligentes conectadas a Chirp en más de 50.000 unidades en más de cien propiedades. No está claro si las propiedades afectadas como Camden son conscientes de la vulnerabilidad o han tomado medidas. Kim Callahan, portavoz de Camden, no respondió a una solicitud de comentarios.

Chirp fue comprada por el gigante del software de administración de propiedades RealPage en 2020, y RealPage fue adquirida por el gigante de capital privado Thoma Bravo más tarde ese año en un acuerdo de $ 10.2 mil millones. RealPage enfrenta varios desafíos legales por acusaciones de que su software de fijación de alquileres utiliza algoritmos secretos y patentados para ayudar a los propietarios a aumentar los alquileres más altos posibles para los inquilinos.

Ni RealPage ni Thoma Bravo aún no han reconocido las vulnerabilidades del software que adquirieron, ni han dicho si planean notificar a los residentes afectados sobre el riesgo de seguridad.

Megan Frank, portavoz de Thoma Bravo, tampoco respondió a las solicitudes de comentarios.

Actualizado con comentarios de RealPage y un aviso actualizado de CISA.

En otra señal de la agitación que está ocurriendo internamente en Twitter, la compañía canceló su Chirp solo dos semanas antes de la fecha prevista para el 16 de noviembre. La compañía alertó a los desarrolladores y otros asistentes en una breve nota que no proporcionaba el motivo de la cancelación.

“El equipo de Twitter está trabajando arduamente en este momento para mejorar Twitter para todos, incluidos los desarrolladores”, dice el mensaje. «Mientras estamos trabajando en algunas cosas emocionantes para usted, hemos decidido cancelar nuestra Conferencia de desarrolladores de #Chirp».

Un portavoz de Twitter se negó a comentar sobre el motivo de la cancelación. Los miembros de los medios recibieron invitaciones para registrarse en Chirp hace solo dos semanas. “Chirp es la primera vez que reuniremos en persona a nuestra comunidad de desarrolladores de todo el mundo para obtener una vista previa de algunas herramientas nuevas, analizar los comentarios y celebrar a los desarrolladores que están facilitando que las personas en Twitter descubran contenido, tengan conversaciones más seguras y impactar en el bien común”, dijo un portavoz de Twitter en ese momento.

Aunque repentina, la cancelación no es particularmente impactante, dada la reciente adquisición de la compañía por parte de Musk. Además de cambiar su liderazgo, también prometió cambiar significativamente el servicio de suscripción de la compañía, Twitter Blue, y es probable que realice cambios en la moderación de contenido y otras políticas. No sería sorprendente que también tenga una visión diferente de la estrategia de desarrollo de Twitter.

Pero para los desarrolladores de Twitter, la cancelación probablemente será una decepción. La empresa ha tenido una relación tensa con los desarrolladores a lo largo de los años, pero ha intentado renovar su plataforma de desarrollo con nuevas API y aplicaciones. Chirp iba a ser la primera conferencia de desarrolladores en persona de Twitter desde 2015. Ahora, como muchos otros aspectos de Twitter bajo Musk, los planes de la compañía para los desarrolladores son nuevamente inciertos.