Bancos, sanidad y automoción: 'hackers éticos' descubren cómo robar el código fuente de miles de empresas
Una sola mala configuración convirtió las cajas fuertes digitales en un coladero.
Miles de servidores de Perforce, el popular sistema de gestión del código fuente, durante años han sido «una puerta abierta» a los archivos más valiosos de las empresas. En riesgo estuvieron estudios de videojuegos, empresas de tecnología médica, organizaciones financieras, fabricantes de automóviles, organismos gubernamentales y otros equipos que guardaban en Helix Core código, scripts de compilación, configuraciones y materiales internos.
El autor del estudio P4WNED analizó más de 6100 instancias públicas de Perforce y encontró problemas generalizados relacionados con configuraciones predeterminadas inseguras. Según el informe, el 72% de los servidores revisados permitían leer archivos internos, el 21% ofrecían acceso de lectura y escritura, y alrededor del 4% contenían cuentas no protegidas con privilegios «super». En este último caso un atacante podría lograr la toma completa del sistema mediante la ejecución de comandos en el servidor.
El problema principal no es un único fallo en el código, sino un conjunto de configuraciones que durante mucho tiempo dejaron demasiadas posibilidades para un usuario no autorizado. En la configuración estándar, Perforce podía crear cuentas automáticamente, mostrar la lista de usuarios, permitir cuentas sin contraseña y dejar que los usuarios establecieran por sí mismos la primera contraseña.
Hasta la versión 2025.1, una amenaza concreta la representaba el usuario oculto «remote», que con un bajo nivel de protección permitía leer repositorios mediante el mecanismo de almacenes remotos sin la autenticación habitual.
Un acceso así es especialmente peligroso para empresas que usan Perforce para archivos binarios grandes, activos de juegos, proyectos CAD, firmware, software financiero y la infraestructura de DevOps. Durante la revisión, entre los datos potencialmente expuestos se hallaron códigos fuente de juegos, herramientas de compilación, materiales para sistemas industriales, proyectos médicos, componentes de software bancario, archivos de electrónica automotriz, certificados y claves.
El autor del informe subraya que, durante la investigación, no descargó ni modificó datos de clientes, sino que confirmó el problema mediante listados de archivos y envió notificaciones a las organizaciones afectadas.
Perforce recibió la información sobre los hallazgos en la primavera de 2025. En mayo la empresa lanzó P4 Server 2025.1, en el que el usuario oculto «remote» está desactivado por defecto, y la documentación sobre configuración segura fue actualizada. Más tarde Perforce también publicó recomendaciones específicas para reforzar los servidores P4. No obstante, al momento de la publicación del informe no se había asignado un CVE a las configuraciones predeterminadas inseguras.
Se recomienda a los administradores de Perforce actualizar el servidor a la versión actual, elevar el nivel «security» a 4, desactivar la creación automática de usuarios, impedir que los usuarios establezcan por sí mismos la primera contraseña, ocultar información de servicio innecesaria y cerrar la visualización de la lista de usuarios sin autenticación.
Los autores de P4WNED recomiendan comprobar no solo los servidores públicos, sino también los internos, ya que las mismas configuraciones pueden ofrecer a los atacantes un acceso directo al código fuente tras una intrusión en la red corporativa.