Un grave fallo de seguridade afectaba ás centraliñas na nube de Telefónica
luns, 4 de decembro do 2017
- A vulnerabilidade facilitaba o acceso e manipulación da rede de telefonÃa de grandes empresas españolas
Denuncian que o sistema de centraliñas virtuais de Telefónica,
Centrex IP, servizo publicitado como fiable e seguro para grandes clientes, terÃa
un grave fallo de seguridade dende, cando menos 2013, facilitando a clientes
do servizo acceder aos doutras empresas dun xeito doado e asà podendo tombar as
súas liñas telefónicas, acceder ás mensaxes de voz, suplantar identidades ou
manipular e desviar chamadas, estando entre os afectados Dragados, o Atlético
de Madrid, o FROB, o Grupo IFA e moitas outras entidades.
O enxeñeiro informático que deu a voz de alarma constatou que o sistema que
viña de instalar na súa empresa tiña moitos problemas, decatándose de que o
contrasinal que se entregaba ás empresas era predicible, xa que estaba composto
por un número fixo inicial, os tres primeiros dÃxitos do código postal no que
está a empresa e 3 números correlativos. Amais, con só mudar os tres últimos
dÃxitos do contrasinal era posible coarse na rede de telefonÃa doutra compañÃa.
Tras detectar o grave fallo contactou con Telefónica o 9 de novembro, e ao non
recibir resposta transmitiu o problema ao INCIBE e á unidade de delitos telemáticos
da Garda Civil, e non foi até que o asunto saÃu nun medio de comunicación cando
a operadora decidiu solucionar o problema, o que aconteceu o pasado 29 de
novembro.
Estamos ante un fallo de seguridade moi grave que non deberÃa ter pasado nunca,
xa que o contrasinal predeterminado deberÃa ser dun único uso, forzando ao
usuario a mudalo. Tamén resultará imposible coñecer se nos últimos anos houbo
xente que fixo un mal uso da información obtida aproveitando a vulnerabilidade
que, entre outras cousas, facilitaba a listaxe interna de números telefónicos de
directivos de bastantes centos de empresas españolas.