Raspberry Pi elimina la contraseña por defecto para máxima seguridad

Una nueva actualización en el sistema operativo Bullseye para Raspberry Pi ha corregido una de las principales vulnerabilidades: la de la contraseña y usuario por defecto con el que se podía acceder al dispositivo con permisos avanzados y sin mayor esfuerzo, ya que nadie suele cambiar estas contraseñas que vienen por defecto.

Según estimaciones, más de 200.000 equipos en Internet ejecutan el Raspberry Pi OS para todo tipo de proyectos, por lo que los ciberdelincuentes tenían una gran base en la que meter sus narices. Ahora, desde Raspberry se ha actualizado esto, tratando de mejorar la seguridad.

Adiós al nombre de usuario predeterminado

Hasta ahora, el sistema operativo Raspberry Pi OS venía con credenciales predeterminadas (usuario: pi y contraseña: raspberry) muy fáciles para los piratas informáticos. Esto los convertía en objetivos fáciles para los atacantes, ya que los dispositivos Raspberry Pi son baratos, fáciles de configurar, tienen beneficios listos para usar y probablemente se conectarán a través de una VPN o WiFi. Tanto, que la combinación de «pi» y «raspberry» quedó en octavo lugar en un informe de seguridad reciente de intentos de inicio de sesión fallidos de la firma Bulletproof.

Aunque conocer un nombre de usuario por sí mismo no suele servir para mucho, sí que puede ayudar en el proceso de ciberataques:

«Solamente saber un nombre de usuario válido realmente no ayuda mucho si alguien quiere piratear tu sistema; también necesitarían saber tu contraseña y tendrías que haber habilitado alguna forma de acceso remoto en primer lugar», explica Simon Long, ingeniero senior de Raspberry Pi Trading. «Sin embargo, podría hacer que un ataque de fuerza bruta sea un poco más fácil y, en respuesta a esto, algunos países ahora están introduciendo leyes para prohibir que cualquier dispositivo conectado a Internet tenga credenciales de inicio de sesión predeterminadas«.

Las leyes que menciona Simon Long son, por ejemplo, una propuesta del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido que quiere acabar con las contraseñas predeterminadas de dispositivos, ya que son fáciles de adivinar y quieren que estén un paso más cerca de ser prohibidas.

Nuevo asistente de creación de usuario y contraseña

La última versión del sistema operativo Raspberry Pi elimina el nombre de usuario «pi» predeterminado y un nuevo asistente obliga al usuario a crear un nombre de usuario en el primer arranque de una imagen del sistema operativo Raspberry Pi recién flasheada, aunque son conscientes de posibles incompatibilidades sobre todo al comienzo del cambio.

raspberry-pi-password — Raspberry Pi Contraseña

«Esto está en línea con la forma en que funcionan la mayoría de los sistemas operativos en la actualidad y, si bien puede causar algunos problemas en los que el software (y la documentación) asumen la existencia del usuario «pi», se siente como un cambio sensato en este punto».

Raspberry Pi todavía permitirá a los usuarios establecer el nombre de usuario en «pi» y la contraseña en «raspberry», pero emitirá una advertencia de que elegir los valores predeterminados no es aconsejable.

Una buena contraseña para cualquier dispositivo, además de estar personalizada y no usarse aquella que viene por defecto, es importante que sea larga y tenga letras (tanto mayúsculas como minúsculas), números y otros símbolos especiales. Todo ello siempre de forma aleatoria y nunca habría que repetir la contraseña en otro lugar, para no acabar provocando un efecto dominó si los ciberdelincuentes o hackers descubren una de ellas.

Fuente: Raspberry Blog | adslzone