Conclusiones clave
- Ubiquiti vende enrutadores inalámbricos de consumo de gama alta y requiere que los nuevos clientes creen una cuenta en línea al configurar el hardware.
- La compañía fue pirateada en lo que inicialmente llamó una brecha de seguridad menor, pero que según los expertos es mucho peor que menor.
- Los expertos dicen que cualquier hardware que requiera una cuenta en línea podría poner en riesgo sus datos y su privacidad.
Ubiquiti, un fabricante de hardware de red rico en funciones, es la víctima más reciente de una brecha de seguridad que pone en riesgo los datos de los clientes.
Ubiquiti es una de varias empresas que piden (u obligan) a los clientes a crear una cuenta al configurar un nuevo hardware. Otros enrutadores nuevos como Eero de Amazon y Nest Wifi de Google hacen que las cuentas basadas en la nube sean fundamentales para la experiencia y no se pueden usar sin una conexión.
Su popularidad ha alentado a las empresas de enrutadores más tradicionales, como Netgear y Linksys, a hacer lo mismo con sus propias opciones alojadas en la nube o basadas en aplicaciones, aunque siguen siendo opcionales en la mayoría de los casos.
"La violación solo significa que sus datos ahora están en manos de otra parte, además del proveedor", dijo Dong Ngo, editor de Dong Knows Tech y exrevisor de enrutadores de CNET, en un mensaje directo en LinkedIn.
Ngo cree que las cuentas obligatorias basadas en la nube son malas noticias para la privacidad y la seguridad del cliente, y ha advertido con frecuencia a sus lectores sobre los problemas con las interfaces basadas en la nube.
¿Quiere confiar en su enrutador? Deshazte de la nube
La violación de los servidores de Ubiquiti es un problema para los clientes porque muchos de los productos de la empresa requieren la creación de una cuenta basada en la nube. Un ejemplo es Dream Machine, un enrutador prosumidor que la compañía lanzó en 2019.
Ngo considera negativo si un enrutador que revisa no permite usar una alternativa controlada localmente. Advierte que el hardware de red que depende de una cuenta obligatoria basada en la nube no deja a los propietarios más remedio que confiar la privacidad y la seguridad a un tercero y limita las opciones de un usuario si se produce una infracción.
¿Qué debe hacer entonces un propietario preocupado por la seguridad? "Quédese con la interfaz web local", dijo Ngo. "Evite usar una aplicación móvil".
La mejor opción no es un enrutador premium que prometa una sólida interfaz en la nube, sino un enrutador simple y económico con una interfaz local a la que se accede a través de un navegador web.
Los fanáticos de UniFi tienen sus temores confirmados
La brecha en el servidor basado en la nube de Ubiquiti golpeó un punto delicado para los fanáticos cuando la compañía requirió que los propietarios de la mayoría de los dispositivos se registraran para obtener una cuenta de Ubiquiti durante la configuración. Se requiere para acceder a la plataforma UniFi de la empresa, que controla los enrutadores de la empresa y otros productos en red.
La última declaración de Ubiquiti, escrita en respuesta a nuevas acusaciones en un informe publicado por el periodista de seguridad Brian Krebs, se publicó en su foro comunitario el 31 de marzo.
La declaración repite que los expertos en respuesta a incidentes "no identificaron evidencia de que se haya accedido a la información del cliente, o incluso que haya sido atacada". Ubiquiti continúa trabajando con las fuerzas del orden para identificar al atacante y afirma tener "pruebas bien desarrolladas".
Esto solo alimentó el alboroto en el foro de la comunidad de la empresa, que sirve como su principal línea de comunicación con los clientes.
Si bien la compañía dice que no hay evidencia de que los datos de los clientes hayan sido atacados o violados, Ubiquiti no refutó las nuevas acusaciones de que no mantuvo registros adecuados de acceso a las cuentas de los clientes en su servicio en la nube.
Un cliente que publicó bajo el nombre de Sonar dejó en claro su decepción y dijo: "Es más sal en la herida que Ubiquiti haya estado tratando de forzar el acceso a la nube en la garganta de las personas pobres [que usan productos UniFi]".
Otros se unieron y amenazaron con boicotear el futuro hardware de Ubiquiti si no se elimina el requisito de la cuenta basada en la nube en futuras actualizaciones de firmware.
La publicación de la comunidad sobre el informe de Krebs ha recibido más de 430 comentarios de clientes y 17 000 visitas. Otra publicación en la que se pedía a Ubiquiti que habilitara cuentas locales recibió 250 comentarios y más de 12 000 visitas.
No está claro qué hará Ubiquiti para recuperar la confianza de los fans. La empresa no respondió a la solicitud de comentarios de Lifewire y no ha ofrecido ninguna respuesta a los clientes en los hilos de la comunidad que discuten la infracción.
La violación solo significa que sus datos ahora están en manos de otra parte, que no es el proveedor.
El silencio de Ubiquiti parece confirmar el consejo de Ngo. Un enrutador controlado localmente ciertamente puede tener vulnerabilidades, pero los propietarios al menos tienen opciones.
Los clientes de Ubiquiti se enfrentan a una elección más difícil: seguir confiando en la empresa y esperar que el problema no sea tan grave como se alega, o dejar de usar sus productos por completo.
Esta misma opción espera a los clientes de otros enrutadores que dependen de cuentas basadas en la nube. Su simplicidad y conveniencia pueden parecer atractivas, pero las opciones que enfrentan los usuarios son todo menos simples cuando se viola el servicio en la nube adjunto.