BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Alcasec podría estar detrás del robo de las claves de 1,6 millones de routers de fibra de Movistar

Joshua Llorach
Factura Movistar biohazard datos binarios matrix

Telefónica sufrió un acceso no autorizado a sus sistemas el pasado septiembre, filtrándose las claves de la red wifi de 1,6 millones de clientes, una cifra muy superior a la manejada inicialmente. El patrón del ataque y servidores utilizados para mover la información apuntan al conocido hacker Alcasec detenido recientemente por la Policía Nacional.

Ninguna empresa se libra de la amenaza que supone una intrusión en sus sistemas informáticos y las operadoras de telecomunicaciones no son una excepción. En los últimos años Telefónica se ha enfrentado a varios incidentes. En noviembre de 2021 los clientes de sus marcas Movistar y O2 recibían un comunicado para informarles que los datos de identidad y contacto básicos se habían filtrado junto con los productos contratados. Casi un año después la operadora sufría otra fuga de datos. En este caso se trataba del acceso a los datos de acceso al router de fibra de los clientes, incluyendo el nombre de la red wifi y su contraseña. El comunicado de Movistar pedía cambiar la contraseña de la red, ya que la única forma con la que los atacantes podían sacar partido a la información filtrada era "estando físicamente en el rango de acceso de tu wifi".

Las fugas de datos generan mucha preocupación entre los clientes afectados y ello en buena parte es debido a la poca información que se facilita sobre las verdaderas dimensiones de los incidentes, lo que deja terreno para la especulación. En aquel momento no supimos cómo había sido posible que los delincuentes consiguiesen acceso a los sistemas de una operadora como Telefónica, aún más teniendo en cuenta que una de sus líneas de negocio se especializa en ciberseguridad. Tampoco supimos la cantidad de clientes afectados.

Los hackers consiguieron las claves engañando a empleados de la operadora

El periódico El Confidencial aporta ahora1, más de medio año después del incidente, algunos datos gracias al acceso a un informe interno de la operadora. En él se explica que el ataque se produjo durante el mes de septiembre, aunque Telefónica no informó a los afectados hasta el 28 de octubre. La operadora inició una investigación con la ayuda del Instituto Nacional de Ciberseguridad (Incibe) y el CNI para esclarecer los hechos. Actualmente el juzgado de primera instancia número 31 de Madrid está investigando el caso.

El informe de Telefónica indica que los atacantes accedieron a un aplicación corporativa denominada Magia utilizando credenciales legítimas de empleados de la operadora. Para obtenerlas se envió a trabajadores de Telefónica un mensaje SMS smishing donde se les pedía introducir sus datos de acceso en una página falsa ubicada en el proveedor Eranet, con sede en Hong Kong. Una vez dentro de los sistemas de Telefónica se copiaron los registros correspondientes a 1,6 millones de clientes y se almacenaron en un servidor del proveedor Cherry Servers en Lituania a la espera de ser vendidos.

1,6 millones es una cifra mucho más alta de la que se consideró en un primer momento y convierte el incidente en uno de los más graves sufridos por la operadora en los últimos años. Se trata del 33% de los 5,042 millones de clientes de fibra que tiene Movistar, es decir, la base de datos robada contiene los datos de acceso al router de 3 de cada 10 clientes de fibra. El informe interno admite que "la información adquirida por el/los atacantes podría poner en grave riesgo el secreto y la intimidad de las comunicaciones de un gran número de domicilios, empresas o administraciones públicas".

Cambiar la clave del wifi y la contraseña de acceso al router es básico para evitar que los datos que figuran en esta base de datos puedan utilizarse para intervenir la red local, desde donde es posible escanear equipos en busca de vulnerabilidades o espiar la actividad e intervenir la navegación modificando los DNS de la conexión, entre otras manipulaciones.

  1. Artículo en El Confidencial tras muro de pago

💬 Comentarios

1
EmuAGR
6

Y Telefónica por qué puñetas tiene una base de datos con claves WiFi de los clientes. Y encima en texto plano, para uso de ellos.

🗨️ 14
P B Fierro

En teoría deben de tener una copia no solo de las claves, sino un archivo con toda la configuración del router para cuando actualizan el aparato o andan escarabijando, dejarlo luego como lo tenias configurado…

🗨️ 13
Meruni

A lo mejor digo una tonteria, ¿pero un router necesita guardar las contraseñas en texto plano en su configuración? ¿no sería mejor que la guardase codificada? Cierto es que posteriormente no habría forma de ver la contraseña si fuera necesario consultarla por parte del usuario, pero también evitaría que terceros pudieran ver dicha contraseña.

🗨️ 9
kaleth

Debería guardarse un hash, que es en esencia irreversible.

🗨️ 8
Meruni

Si, a eso me referia, a codificarla en un hash, como se hace en un sitio web con las credenciales de los usuarios al guardarlas en la base de datos (o debería)

🗨️ 7
kaleth
🗨️ 3
apocalypse
1
🗨️ 2
Teseootx 1
🗨️ 1
Jav9i
🗨️ 1
pepejil
apocalypse
9

Esto no funciona así, en absoluto.

El SSID y claves por defecto, se generan mediante un algoritmo desde las direcciones MAC y/o SN. Antes era así, pero ahora va un paso más allá para que no se pueda sacar el algoritmo del firmware. La clave WiFi se almacena en algún lugar de la memoria NAND, concretamente en la partición de la config del CFE (bootloader) o en otra partición a parte. Viene ahí escrita de fábrica, y da igual si se actualiza el firmware o cuantas veces se resetee de fábrica, siempre leerá esos valores.

Tampoco almacenan la configuración por si se restaura, el firmware ya viene con una configuración preestablecida autosuficiente para tener conexión. En el caso de Movistar, lo único que varía de cliente a cliente es las credenciales SIP y la IP de IPTV. Estos datos los carga desde el servidor TR069 para cada cliente.

El motivo de que tengan almacenada la configuración es otro, TR069 no sólo sirve para autoconfigurar el router o acceder y cambiar parámetros remotamente. También sirve para recopilar estadísticas del router como el número de equipos conectados por cable y WiFi, bytes TX/RX, configuración WiFi, puertos abiertos, etc. Es ahí donde está el fallo. Tienen almacenados datos recopilados que no deberían tener. Es más, seguro que en esos datos robados también hay claves que no son los predeterminados, aunque se cambien, a través de TR069 vuelve a volcar esos datos al servidor.

🗨️ 2
kaleth
1

Gracias por la explicación. O sea que ni siquiera tienen los datos porque los necesiten técnicamente. SPM.

🗨️ 1
apocalypse
1

Realmente, no. Salvo que un cliente llame preguntando cuál es su clave… pero por confidencialidad, ni los del 1002 la pueden ver (corregirme si me equivoco), además que para eso viene en la pegatina, y si la cambió por otra, es que sabe hacerlo y puede hacerlo de nuevo.

Lo mejor es cambiarla, aunque ya tuviese otra personalizada en el momento del ataque y para curarse en salud, desactivar el TR069 y eliminar las reglas del firewall que permiten el tráfico entrante en los puertos 80, 443, 22, 7547… (realmente se pueden borrar todas las reglas sin ningún problema, excepto la de DROP para bloquear todo lo entrante por defecto). Es algo que se puede hacer en los routers de Movistar, que no vienen tan capados como los de otros operadores. El firewall se puede tocar sin restricciones.

Aquí hay una captura del primer modelo de Askey

Se pueden borrar todas dejando IPv4PppIn e IPv6WanIn, que son las que bloquean todo lo entrante (nuevas conexiones se entiende, el tráfico de vuelta de una conexión saliente relacionado y establecido, sí lo permite). Con eso ya no se permite el acceso de gestión remota, que si eres un usuario medio avanzado, no hace falta que metan las narices y se evitan problemas en futuros hackeos de este tipo, la verdad.

kafeolé
1

Movistar tenia de contraseña 1234, para el acceso a su base de datos…

1