Grave vulnerabilidad: Ya.com entrega routers desprotegidos

Primero, el aviso: si tenéis un D-Link DSL-504T de los que regala Ya.com y mantenéis los valores de fábrica, cambiad inmediatamente la contraseña de acceso. Poned una que tenga al menos ocho caracteres aleatorios (nada de palabras, en cualquier idioma), combinando mayúsculas, minúsculas y números. A mí me rompieron por fuerza bruta, en un Conceptronic, una de ocho letras minúsculas aleatorias; por eso hago énfasis en que combinéis varios tipos de caracteres.

Ahora, la historia: hace poco ha escrito en el foro un cliente de Ya.com (gracias por el aviso, manelius) llamando la atención sobre un test de puertos que le había hecho a su D-Link DSL-504T, regalado por este proveedor en sus ofertas más básicas. Según dicho test, tenía abiertos ciertos puertos destinados a la gestión del router. Con un par de comprobaciones y una consulta al manual del modelo, pude meterme en su configuración con absoluta facilidad. Por tanto, estamos ante un problema muy grave de seguridad, de aquí que recomendemos el cambio de la contraseña a la mayor brevedad.Curiosamente, una búsqueda por Google no devuelve ningún tipo de aviso sobre esta cuestión. Siendo D-Link una marca muy conocida a escala mundial, es de esperar que semejante agujero ya tuviera comentarios. Lo que me da que pensar que, siendo el firmware del 504T una versión del conocido sistema operativo empotrado Linux Busybox, haya sido expresamente modificado en los modelos que entrega Ya.com.

La pregunta es: ¿con qué propósito? Dejando especulaciones conspiranoicas aparte, lo cierto es que, por parte de Ya.com, constituye una tremenda falta de profesionalidad proporcionar a los clientes (la mayoría de ellos, con escasos conocimientos de redes) un router que, nada más conectarse, deja abierta una puerta del tamaño de la de Alcalá. Es como vender un piso y dejar una copia de las llaves debajo del felpudo, sin avisar a los compradores.

Si algún dueño de este router quiere profundizar en el tema, que no dude en escribir un mensaje en el foro de Seguridad o en de D-Link 504T.

Actualización: según nos comentan en los foros, también en firmwares descargados desde el FTP ruso de D-Link se observa este problema. Luego sí que parece ser global.

Cargando...