Agujero en Telefónica: al descubierto miles de líneas de teléfono de grandes empresas
Telefónica ha vendido durante más de cuatro años un servicio de centralita IP con una grave vulnerabilidad. Permitía tumbar líneas telefónicas, acceder a mensajes de voz o manipular llamadas.
"Cuando vi que me había colado en el sistema de telefonía del Atlético de Madrid no me lo creía. Llamé a Enrique Cerezo y sonó. Colgué por miedo". Así describe el responsable de sistemas de una empresa química española el agujero de seguridad que descubrió en Centrex IP, un servicio de centralita en la nube que ofrece Telefónica a compañías en España para gestionar sus líneas de teléfono en diferentes sedes. La operadora lo vende a "grandes clientes" como una "plataforma fiable" y con "garantía de seguridad". En realidad, un fallo en su configuración permitió hasta hace solo unos días a cualquier administrador del mismo colarse en el sistema de otros clientes y hacer de todo: tumbar sus líneas telefónicas, acceder a mensajes de voz, suplantar identidades o manipular y desviar llamadas. Y no solo eso: el agujero existió desde al menos el 2013.
El Club Atlético de Madrid es solo una de las más de mil empresas clientes de este servicio de Telefónica. "Hay firmas de toda índole, el fallo permitía crear el caos absoluto", explica a Teknautas uno de los directivos que descubrió la vulnerabilidad y que prefiere mantener el anonimato para evitar posibles repercusiones negativas en su organización.
[Confesiones del gurú de Telefónica: "No somos enemigos de WhatsApp ni Google"]
Este ingeniero informático se dio cuenta del agujero de seguridad al contratar él mismo Centrex IP para sus 60 empleados por unos 2.300 euros al mes (casi 40 euros/mes por línea). La casualidad hizo el resto. "Vienieron de Telefónica a darnos la formación y empecé a ver que el sistema tenía muchísimos fallos. Como sus técnicos no sabían responderme a las preguntas, quedaron de enviarme el manual de formación. Al final investigando me hice con el de instalación. Leyéndolo entendí lo que estaba ocurriendo".
Todos los nuevos clientes de Centrex IP reciben al darse de alta un nombre de usuario (el de la empresa) y una contraseña que es solo una combinación de números. El problema es que se trataba de una combinación extremadamente predecible, que incluía un número fijo inicial, los tres primeros dígitos del código postal donde está ubicada la empresa y tres números correlativos. Por ejemplo: 8280001.
Era posible redirigir a otro número las llamadas recibidas por miles de directivos, como Jaime Ponce (FROB) o Enrique Cerezo (At. de Madrid)
Pero había un segundo problema aún más comprometedor: solo con cambiar los últimos dígitos de la contraseña te podías colar en la red de telefonía de otra compañía, con pleno poder para desconectar las líneas de teléfono de todas las sedes o cambiar las extensiones. También era posible redirigir a otro número las llamadas recibidas, por ejemplo, por Jaime Ponce, director general del FROB, Enrique Cerezo, Presidente del Atlético de Madrid o Juan Manuel Morales, director general del Grupo IFA. Sus números fijos directos, junto con el de miles de directivos más (además de todo el historial de llamadas realizadas o recibidas, números móviles incluidos), aparecían en los listados al descubierto de Centrex IP.
