Un grave fallo de seguridade afectaba ás centraliñas na nube de Telefónica

A vulnerabilidade facilitaba o acceso e manipulación da rede de telefonía de grandes empresas españolas

Denuncian que o sistema de centraliñas virtuais de Telefónica, Centrex IP, servizo publicitado como fiable e seguro para grandes clientes, tería un grave fallo de seguridade dende, cando menos 2013, facilitando a clientes do servizo acceder aos doutras empresas dun xeito doado e así podendo tombar as súas liñas telefónicas, acceder ás mensaxes de voz, suplantar identidades ou manipular e desviar chamadas, estando entre os afectados Dragados, o Atlético de Madrid, o FROB, o Grupo IFA e moitas outras entidades.
O enxeñeiro informático que deu a voz de alarma constatou que o sistema que viña de instalar na súa empresa tiña moitos problemas, decatándose de que o contrasinal que se entregaba ás empresas era predicible, xa que estaba composto por un número fixo inicial, os tres primeiros díxitos do código postal no que está a empresa e 3 números correlativos. Amais, con só mudar os tres últimos díxitos do contrasinal era posible coarse na rede de telefonía doutra compañía.
Tras detectar o grave fallo contactou con Telefónica o 9 de novembro, e ao non recibir resposta transmitiu o problema ao INCIBE e á unidade de delitos telemáticos da Garda Civil, e non foi até que o asunto saíu nun medio de comunicación cando a operadora decidiu solucionar o problema, o que aconteceu o pasado 29 de novembro.
Estamos ante un fallo de seguridade moi grave que non debería ter pasado nunca, xa que o contrasinal predeterminado debería ser dun único uso, forzando ao usuario a mudalo. Tamén resultará imposible coñecer se nos últimos anos houbo xente que fixo un mal uso da información obtida aproveitando a vulnerabilidade que, entre outras cousas, facilitaba a listaxe interna de números telefónicos de directivos de bastantes centos de empresas españolas.