Hace meses me di cuenta que al llamar al 644100121 desde mi cuenta VoIP SIPDiscount con mi número Simyo verificado, el IVR del 644100121 me reconocía como cliente Simyo y me permitía hacer gestiones, cambiar bonos, etc.
Aparte de eso, me dio por llamarme a mi mismo a mi número Simyo desde mi cuenta SIPDiscount (mi número Simyo tenía el buzón de voz activo) y parece ser que el buzón de voz al recibir una llamada desde mi propio número, directamente se accedía automáticamente.
Ejemplo: Supongamos que tengo el número ficticio 999123123, pues al llamar desde el 999123123 desde SIPDiscount al 999123123 (teniendo buzón activo), directamente se accedía al buzón de voz y se podían escuchar todos los mensajes. Esto podría permitir a un atacante de spoofing acceder al buzón de voz y escuchar mensajes.
Por último Simyo cuenta con otro fallo que ya tenía en el pasado y que ya habían arreglado, la posibilidad de visualizar en el área de clientes números ocultos. Ahora nuevamente, cuando te llama un número oculto, Simyo te lo muestra en el área de clientes.
Por tanto Simyo dispone de 3 importantes fallos los cuales los 2 primeros ya han sido reportados hace meses y no han hecho nada por solucionarlos.
- A través del 644100121 con una llamada de spoofing otra persona puede consultar información de tu línea Simyo. Simyo no debe permitir que el 644100121 identifique tu número de teléfono Simyo, sólo si la llamada se hace al 121.
- A través de una llamada de spoofing realizada así mismo a un número Simyo con buzón de voz activo, se puede acceder al buzón de voz. Esto es útil para que un estafador pueda acceder a tu buzón de voz y escuchar tus mensajes.
- Simyo descifra llamadas con número oculto en su área de clientes.
Indicar que lo del buzón de voz ocurre en varios operadores OMV con red Orange, creo que el problema en sí es del buzón de Orange y la programación que tiene ¿qué sentido tiene que se pueda acceder al buzón de voz cuando la llamada se la hace uno a su propio número?
Fallo de MásMóvil que permitió robar cuentas de WhatsApp
No hace mucho al grupo MásMóvil se le notificó un fallo bastante gordo el cual mediante spoofing un delincuente podía acceder al buzón de voz de cualquier número Yoigo falseando el número de teléfono del cliente en cuestión, el grupo MásMóvil lo solucionó, la técnica fue utilizada para el robo de multitud de cuentas de WhatsApp ya que los delincuentes utilizaban los mensajes de voz grabados por WhatsApp con el código en el buzón de voz para luego acceder y escuchar el código y así robar la cuenta de WhatsApp.
Una vez solucionado el problema en Yoigo y avisado a WhatsApp, ahora Yoigo ya tomó medidas y no se puede acceder si previamente no se establece comunicación inicial desde el propio número modificando la clave por defecto.
Por otro lado WhatsApp estableció otra medida de seguridad muy interesante, ahora cuando recibes un código por llamada telefónica, debes pulsar una tecla (al azar que ellos te dicen) para que te dicten el código, cosa que un buzón no podría hacer.
Precauciones a tomar en cuenta
Si eres cliente de Simyo, desactiva tu buzón de voz y envía una queja a Simyo para que deshabiliten el 644100121 temporalmente hasta que solucionen el problema de no identificar a los clientes de Simyo a través del número largo, pues hay brechas de seguridad en la IVR, al menos que para cualquier gestión la IVR te solicite introducir el número de DNI.
Y por último, que Simyo solucione el problema con el buzón de voz así como lo de las llamadas con número oculto, espero que estos mensajes en este foro con gran visibilidad sirvan para que la operadora tome cartas en el asunto y procedan a solucionarlo.