Agujero en Telefónica: al descubierto miles de líneas de teléfono de grandes empresas
Telefónica ha vendido durante más de cuatro años un servicio de centralita IP con una grave vulnerabilidad. Permitía tumbar líneas telefónicas, acceder a mensajes de voz o manipular llamadas
"Cuando vi que me había colado en el sistema de telefonía del Atlético de Madrid no me lo creía. Llamé a Enrique Cerezo y sonó. Colgué por miedo". Así describe el responsable de sistemas de una empresa química española el agujero de seguridad que descubrió en Centrex IP, un servicio de centralita en la nube que ofrece Telefónica a compañías en España para gestionar sus líneas de teléfono en diferentes sedes. La operadora lo vende a "grandes clientes" como una "plataforma fiable" y con "garantía de seguridad". En realidad, un fallo en su configuración permitió hasta hace solo unos días a cualquier administrador del mismo colarse en el sistema de otros clientes y hacer de todo: tumbar sus líneas telefónicas, acceder a mensajes de voz, suplantar identidades o manipular y desviar llamadas. Y no solo eso: el agujero existió desde al menos el 2013.
El Club Atlético de Madrid es solo una de las más de mil empresas clientes de este servicio de Telefónica. "Hay firmas de toda índole, el fallo permitía crear el caos absoluto", explica a Teknautas uno de los directivos que descubrió la vulnerabilidad y que prefiere mantener el anonimato para evitar posibles repercusiones negativas en su organización.
[Confesiones del gurú de Telefónica: "No somos enemigos de WhatsApp ni Google"]
Este ingeniero informático se dio cuenta del agujero de seguridad al contratar él mismo Centrex IP para sus 60 empleados por unos 2.300 euros al mes (casi 40 euros/mes por línea). La casualidad hizo el resto. "Vienieron de Telefónica a darnos la formación y empecé a ver que el sistema tenía muchísimos fallos. Como sus técnicos no sabían responderme a las preguntas, quedaron de enviarme el manual de formación. Al final investigando me hice con el de instalación. Leyéndolo entendí lo que estaba ocurriendo".
Todos los nuevos clientes de Centrex IP reciben al darse de alta un nombre de usuario (el de la empresa) y una contraseña que es solo una combinación de números. El problema es que se trataba de una combinación extremadamente predecible, que incluía un número fijo inicial, los tres primeros dígitos del código postal donde está ubicada la empresa y tres números correlativos. Por ejemplo: 8280001.
Era posible redirigir a otro número las llamadas recibidas por miles de directivos, como Jaime Ponce (FROB) o Enrique Cerezo (At. de Madrid)
Pero había un segundo problema aún más comprometedor: solo con cambiar los últimos dígitos de la contraseña te podías colar en la red de telefonía de otra compañía, con pleno poder para desconectar las líneas de teléfono de todas las sedes o cambiar las extensiones. También era posible redirigir a otro número las llamadas recibidas, por ejemplo, por Jaime Ponce, director general del FROB, Enrique Cerezo, Presidente del Atlético de Madrid o Juan Manuel Morales, director general del Grupo IFA. Sus números fijos directos, junto con el de miles de directivos más (además de todo el historial de llamadas realizadas o recibidas, números móviles incluidos), aparecían en los listados al descubierto de Centrex IP.
"Es un fallo muy parecido al ocurrido con LexNet del Ministerio de Justicia", explica el ingeniero que descubrió el problema. No ha sido el único. Varios clientes de Centrex IP consultados por este diario conocían la vulnerabilidad. En Teknautas hemos podido confirmar y replicar el fallo, que habría estado activo al menos desde el año 2013 (solo dos años después del lanzamiento comercial del sistema) y hasta el pasado miércoles 29 de noviembre, cuando la operadora lo parcheó tras ser consultada por este diario.
"Avisé a Telefónica del problema el 9 de noviembre, pero no recibí respuesta. El 16 de noviembre me puse en contacto con el Incibe (Instituto Nacional de Ciberseguridad de España) y también con la unidad de delitos telemáticos de la Guardia Civil. Solo ha sido cuando esto iba a salir a la luz en un medio de comunicación cuando la operadora se ha dado prisa en solucionarlo. Pero esto se tiene que saber: llevaban años vendiendo como seguro un servicio que no lo era", explica el directivo afectado.
Consultados por este diario, el Incibe confirma la recepción del aviso el 16 de noviembre. Tras investigarlo, concluyeron que, efectivamente, existía un fallo en Centrex IP. Facilitaron toda la información a Telefónica "unos días más tarde". "Ha habido una vulnerabilidad, pero ya está subsanada y estamos en proceso de analizar lo ocurrido. En ningún caso ha habido filtración de datos de clientes ni estos se han visto afectados", explica a Teknautas un portavoz de Telefónica, que prefiere no desglosar el número exacto de empresas y empleados afectados en España.
Solo ha sido cuando esto iba a salir a la luz en un medio cuando la operadora se ha dado prisa en solucionarlo. Pero se tiene que saber
Según la información a la que ha tenido acceso Teknautas, solo en Madrid hay casi 400 empresas y organismos públicos afectados. "Por las comprobaciones que hemos hecho, puede haber entre 1.300 y 1.500 clientes, pero pueden ser muchos más, es el servicio que Telefónica está vendiendo ahora a todas las pequeñas y medianas empresas, no solo a grandes clientes", dice una fuente del sector de ciberseguridad conocedora de la vulnerabilidad.
Lorenzo Martínez, especialista en ciberseguridad y CTO de Securízame, cree que los clientes deberían pedir responsabilidades a la operadora por haber expuesto sus datos y poner en riesgo sus operaciones. "No es solo un tema de privacidad. Imagina que eras el administrador de una empresa de paquetería y designas a alguien externo para anular las líneas telefónicas de alguno de tus competidores que también use Centrex IP, y lo haces en pleno Black Friday o en la campaña de Navidad. Algo así era posible. ¿Puede asegurar Telefónica que nadie se ha aprovechado de esa vulnerabilidad?".
De puertas hacia fuera Telefónica minimiza el impacto del fallo, pero conversaciones entre sus empleados demuestran el calado de la vulnerabilidad detectada. Horas después de ser consultada por este diario sobre Centrex IP, la operadora cerró uno de los dos portales de acceso al servicio (denominado PGG). Un mensaje de WhatsApp enviado por un empleado de la compañía al que ha tenido acceso Teknautas confirma que, internamente, el asunto era mucho más grave de lo que la empresa reconoce oficialmente.
"Es un fallo procedimental básico de Telefónica. Todo producto que se contrate por primera vez debería avisar y obligar a cambiar la contraseña por defecto", explica Martínez. "Y el otro punto fundamental: esta no debe ser generada de forma correlativa, sino aleatoria". La operadora asegura ahora que ha modificado todas las contraseñas y que está realizando un informe pericial para esclarecer lo ocurrido. Para muchos afectados, el daño ya está hecho. "No han cambiado los números de teléfono de cada usuario, seguirán siendo los mismos", explica uno de ellos. "Esa información lleva cuatro años al descubierto, y se podrá seguir utilizando".
_
¿Tienes información sobre este u otros casos? Envíanosla de forma anónima a través de buzon.elconfidencial.com o ponte en contacto con nosotros en investigacion@elconfidencial.com.
"Cuando vi que me había colado en el sistema de telefonía del Atlético de Madrid no me lo creía. Llamé a Enrique Cerezo y sonó. Colgué por miedo". Así describe el responsable de sistemas de una empresa química española el agujero de seguridad que descubrió en Centrex IP, un servicio de centralita en la nube que ofrece Telefónica a compañías en España para gestionar sus líneas de teléfono en diferentes sedes. La operadora lo vende a "grandes clientes" como una "plataforma fiable" y con "garantía de seguridad". En realidad, un fallo en su configuración permitió hasta hace solo unos días a cualquier administrador del mismo colarse en el sistema de otros clientes y hacer de todo: tumbar sus líneas telefónicas, acceder a mensajes de voz, suplantar identidades o manipular y desviar llamadas. Y no solo eso: el agujero existió desde al menos el 2013.