Investigadores rusos enfocados en Sistemas de Control Industrial y Supervisión, Control y Adquisición de Datos (ICS/SCADA) publicaron una lista de productos industriales que se distribuyen con contraseñas predeterminadas.

Este es un esfuerzo para llevar a los proveedores a implementar mejores controles de seguridad, una medida que, según algunos, podría causar más daño que beneficios.

Jonathan Sander, vicepresidente de estrategia en productos de Lieberman Software dijo a SCMagazine.com que “cualquiera que se considere en riesgo al tener contraseñas predeterminadas necesita mirarse en el espejo”, porque algunas de las fallas recaen en los profesionales de TI que no cambian las credenciales después de adquirir los sistemas.

Sander dijo que la lista de productos y volcado de contraseñas puede llevar a algunas empresas a realizar un inventario y asegurar los sistemas vulnerables, pero agregó que también creó nuevos e innecesarios riesgos para las empresas, ya que se encuentran expuestos mientras tratan de identificar si sus sistemas están protegidos por una contraseña débil. “Una persona no puede saber el nombre del proveedor para sus equipos SCADA ya que se los compra por volumen”, dijo Sander.

Los investigadores señalan que la finalidad de este ejercicio es cambiar la mentalidad de los proveedores que utilizan contraseñas simples y predeterminadas en los sistemas industriales en lugar de exigir a los usuarios cambiar estos elementos desde el primer acceso y utilizar contraseñas complejas, según InformationWeek.

La lista ha sido apodada el “SCADAPass” y contiene las credenciales predeterminadas para más de 100 productos, incluyendo los servidores web de proveedores como Allen-Bradley, Schneider Electric y Siemens.

Fuente: Seguridad Unam 06-01-2016