Los servidores NAS cada vez están ganando mayor protagonismo dentro de las redes domésticas, y es que, gracias a las conexiones simétricas de fibra y al gran funcionamiento de la mayoría de las redes locales, este tipo de servidores son muy útiles para guardar todos nuestros archivos y poder acceder a ellos tanto de forma remota como desde otros dispositivos conectados a la red. Sin embargo, si el fabricante de nuestro NAS no se preocupa por la seguridad, utilizar este tipo de servidores puede ser peligroso, ya que algunos fallos pueden permitir a piratas informáticos hacerse con nuestros archivos, como ocurre con los servidores NAS de Western Digital.

Western Digital es conocido por ser uno de los principales fabricantes de discos duros del mercado, aunque también cuenta con otras soluciones de almacenamiento como son sus soluciones NAS My Cloud EX2.

No es la primera vez que se pone en evidencia la seguridad de los dispositivos de Western Digital conectados a la red. Sin volver mucho más atrás, en julio del año pasado se dio a conocer un grave fallo de seguridad que podía ser utilizado para cambiar la contraseña de los servidores multimedia de este fabricante, fallo que no tenía parche ni tenía intenciones de corregir.

Hoy nos encontramos con una nueva evidencia de seguridad de Western Digital, concretamente en los servidores NAS My Cloud EX2.

Los NAS Western Digital My Cloud EX2 pueden exponer los archivos a cualquier usuario, aunque estos estén configurados como privados

Tal como podemos leer en Threadpost, los servidores NAS de Western Digital cuentan con un fallo de seguridad que puede permitir a cualquier persona conectada a la red local acceder sin limitación a cualquier archivo guardado dentro de este servidor, independientemente de los permisos del usuario e incluso aunque se hayan configurado permisos restrictivos a estos archivos.

Este fallo de seguridad no se limita solo a la red local, y es que los investigadores de seguridad que han descubierto la vulnerabilidad aseguran que, si el NAS My Cloud EX2 está configurado para acceder de forma remota, cualquier atacante podría robar archivos almacenados dentro de este NAS utilizando solicitudes HTTP a través del puerto 9000.

Esto es posible debido a que el protocolo UPnP se inicia automáticamente cuando el servidor está encendido. De esta manera, se pueden realizar peticiones fácilmente a través de este protocolo para acceder sin restricciones a los archivos almacenados en el NAS evitando todo tipo de permisos y autenticaciones.

“It’s not a bug, it’s a feature”; Western Digital se niega a admitir y corregir este fallo de seguridad

Igual que ocurrió con los servidores multimedia el año pasado, en otras ocasiones con otros productos de este fabricante (como los discos My Cloud), una vez más WD se niega a admitir el fallo de seguridad y a lanzar una actualización de firmware que proteja adecuadamente los datos de los usuarios.

La única respuesta del fabricante respecto a esta vulnerabilidad es que los usuarios que no quieran poner en peligro sus archivos desactiven manualmente el protocolo DLNA, que viene activado por defecto en estos NAS, evitando que se pueda acceder a los archivos del NAS sin permiso, pero perdiendo las ventajas de este protocolo.

Si estamos pensando en comprar un servidor NAS y nos interesa, aunque sea un poco, que nuestros datos estén seguros, entonces debemos buscar un fabricante que se preocupe por la seguridad de sus dispositivos, que actualice periódicamente el firmware corrigiendo fallos y que nos permita guardar nuestros datos seguros en este servidor doméstico.

¿Tienes un NAS de Western Digital?