Los datos publicados por una empresa especializada en ciberseguridad desvelan que hay miles de portales de empresas que están en riesgo por una decisión tan absurda como elegir «admin» a modo de contraseña. Sería fácil imaginar que nadie pondría su negocio o puesto de trabajo en riesgo de una manera tan simple, pero el mundo continúa sorprendiéndonos.
En enero de este año 2023, la empresa Outpost24 comenzó a realizar un estudio de los sistemas de seguridad en portales corporativos utilizando su herramienta especializada Threat Compass. No tardaron en sorprenderse. El análisis continuó hasta el pasado mes de septiembre, en el que decidieron darlo por finalizado para poder presentar los inquietantes resultados.
Sistemas fáciles de hackear
Eso es lo que se han encontrado en el análisis. Han detectado más de 40.000 entradas de registro en los sistemas de los portales de empresas en los que la contraseña es, simplemente, «admin». El total de entradas analizadas es muy superior, de casi 2 millones, pero esto no resta relevancia a que haya tantos casos en los que los administradores de sistemas han pensado que la mejor opción para proteger su empresa era esta palabra. Por supuesto, se trata de un grave error y de algo que está comprometiendo la seguridad de una manera tan alarmante que parece que se invite a sufrir ciberataques.
En algunos casos, la contraseña se mantiene como «admin» debido a que es la que el sistema tiene como predeterminada en el momento de la instalación. El nombre de usuario parece que sí lo cambian, posiblemente para personalizarlo dependiendo del acceso que se vaya a realizar o la persona que tenga la intención de utilizarlo. Pero, en el caso de la contraseña, la dejan tal cual.
Otras contraseñas inseguras
Podríamos imaginar que, los administradores de sistemas que han dejado «admin» como contraseña lo han hecho por la pereza de tener que elegir otra clave. Es decir, que no han querido ni siquiera editar el campo con una nueva. Pero los datos que ha publicado Outpost24 demuestran que la pereza no es el único motivo. La razón de ello es que tienen un listado de otras contraseñas que han encontrado haciendo el análisis y podemos ver que muchas de ellas son igual de malas. Es decir, esos administradores sí que se han tomado el esfuerzo de modificar la contraseña, pero en el momento de hacerlo han acabado recurriendo a algo casi tan inútil como haber dejado admin.
Algunos de los ejemplos de este tipo de caso son los de las siguientes contraseñas: 123456, 12345678, 1234, Password, 123, 12345, admin123, 123456789 y adminisp, siendo esta última la que termina el top 10 de las más utilizadas y de riesgo. Las siguientes diez posiciones incorporan otras contraseñas que tampoco son seguras por mucho que los administradores de la red y el portal de las empresas puedan creer lo contrario. Por ejemplo, se piensa que elegir «root» como contraseña es muy inteligente y original. Pero, en realidad, es la contraseña que ocupa la posición 12 de la lista. Una posición antes está «demo» y luego el resto hasta finalizar el top 20 está formado por variantes de números y «admin».
Los portales de las empresas normalmente tienen un acceso restringido y no están disponibles, por motivos obvios, para los usuarios de a pie. Estos portales pueden llegar a tener un amplio rango de funciones que varían dependiendo del negocio en cuestión. Por ejemplo, algunos recopilan la información de los empleados, datos personales, elementos relacionados con la seguridad de la empresa, bases de datos de clientes o pedidos y muchas otras cosas. Son, por lo tanto, datos que deberían ser confidenciales y que tendrían que estar protegidos al extremo. No obstante, queda demostrado con este estudio que hay muchos especialistas que no se están tomando suficientemente en serio la protección de sus sistemas.
Los consejos que aporta Outpost24 a las empresas que se puedan sentir identificadas son tan obvios que no los vamos a reproducir. A estas alturas nos decantamos por pensar que las personas que tomaron la decisión de usar «admin» como contraseña en el portal de su web lo hicieron, como decíamos antes, por desdén y no porque no estén al tanto de lo que puede suponer. Al fin y al cabo, hablamos de sistemas privados, no de la contraseña de un dispositivo USB. Si tú te has sentido identificado… ¡aprovecha y cambia las contraseñas antes de que puedas meter a tu negocio en un lío!