Por @Alvy — 6 de septiembre de 2011

En este vídeo se puede ver cómo abrir una caja fuerte privada de esas que hay en los hoteles utilizando como contraseña 000000.

Esto no quiere decir que todas las cajas de hotel se puedan abrir con ese código; solamente las de esa marca y en ese hotel concreto… O no. Se supone que 000000 es la contraseña secundaria por defecto en ese modelo y que por descuido, comodidad o vaguería la han dejado tal cual instalaron la caja. De hecho, no sería raro que esto mismo sucediera en muchos otros hoteles –y con otras marcas y modelos de caja– de forma consciente o inconsciente: mucha gente olvida su contraseña y es un trastorno abrirlas con una llave o tarjeta; de este modo todos los empleados pueden resolverlo en un plis-plas. (El vídeo por cierto lo vi pasar por Boing Boing.)

Que 000000 o 0000 sea el valor por omisión de las contraseñas es algo habitual. Otras cajas o dispositivos pueden tener más o menos dígitos, usar 1234, 123456 o algo parecido. Como dicen en el vídeo no está de más probar que esto no sucede cuando entras en la habitación del hotel. Es mucho mejor evitar que alguien «con conocimiento» pueda llevarse limpiamente y sin dejar rastro tu pasaporte, dinero, ordenador o gadgets que creías seguros.

Precisamente hoy venía pensando en escribir algo sobre un problema similar, que es el de las contraseñas que utilizan sistemas de seguridad y archivo que manejan datos muy personales, incluso aunque esté fuertemente limitado quién y cuándo accede a ellos.

Supongamos algún sistema gestionado por el Estado, un cuerpo de seguridad o cualquier entidad (salud, banca, seguros) o empresa privada con nuestros datos más personales y delicados. Normalmente se guardarán con todo tipo de medidas de alta seguridad, cifrados, etcétera. Y probablemente existirá un log o registro donde se guarda información puntual sobre «quién-consulta-qué» para que en caso de darse una fuga de información se pueda saber qué trabajador accedió los datos.

El problema es que muchísimos de esos sistemas tienen una puerta trasera incluida por los propios programadores o administradores de sistemas para evitar incomodidades: basta teclear 0000, 9999, 1234 o algo así para poder acceder sin que quede registro. Esto puede ser por varias razones, no necesariamente malicia: empleados que olvidan los códigos, consultas de prueba que no deben quedar registradas y demás. A veces se crea en el sistema un usuario dummy con 9999 como contraseña, para salvar el mismo problema. El caso es que esto permite dar un mal uso a un sistema que –por otro lado– probablemente sea bastante seguro.

Todo esto viene porque el otro día vi a alguien en una oficina pública utilizar un 9999 para consultar unos datos importantes sin identificarse; también me han descrito cómo en ciertos sistemas se puede sacar información relevante de otros sistemas importantes sin dejar rastro usando trucos similares. Así de simple y así de inseguro. ¿Suena imposible? Bueno, más o menos como abrir la caja fuerte de un hotel sin saber la contraseña… y sin utilizar una palanca.

Compartir en Flipboard Publicar / Tuitear Publicar