El número de teléfono oficial de Apple en España es el 900 150 5031, pero si se llama desde un terminal Android con la app Teléfono de Google, la pantalla indica que se está llamando a Casa Papa Noel.
Aunque suena a broma, el caso es real. Se trata de un ejemplo entre muchos producto de una vulnerabilidad que afecta a la base de datos de identificación de llamadas de Google y que a pesar de haber sido notificada, siguen sin solucionar desde el buscador.
El problema empieza a afectar a muchas empresas y hasta el instituto Nacional de Ciberseguridad (INCIBE) ha lanzado una alerta para avisar de que el método se está utilizando para dañar la reputación de algunos comercios.
La alerta la dio el usuario del foro @Tinkinaz304, quién ya ha destapado anteriormente otros fallos críticos, como que terceros habían registrando en Bizum el número de WhatsApp de varias operadoras o más recientemente el fallo que permitía a los clientes de Simyo saber quién llama en oculto.
Google permite asociar un número a un perfil de empresa sin verificarlo
En esta ocasión el fallo reside en cómo Google asocia un número de teléfono a un Perfil de Empresa. El buscador no verifica mediante el envío de un código de validación o sistema similar, que el número pertenece realmente al propietario del perfil. Esto permite a cualquier perfil asociar a su nombre un número de teléfono que no le pertenece, siempre que la numeración aún no esté siendo utilizada por otro perfil.
En la mayoría de los casos se trata de un error, sin embargo, el problema también se está explotando para dañar la reputación de individuos y empresas. Para ello, el atacante solo debe registrar un perfil de empresa ficticia con el nombre elegido e introducir el número de teléfono de la víctima, de forma que una vez el sistema de identificación de llamadas del dialer de Google incorpora la información, el nombre empieza a mostrarse a todos los usuarios del sistema operativo Android que llaman al número utilizando la app oficial Teléfono de Google.
Alerta del Incibe
El Incibe recoge en su página web el caso2 del dueño de una pyme que solicitó asistencia a través del teléfono 017, de ayuda en incidentes de ciberseguridad, tras descubrir que cuando sus clientes llaman al número de teléfono de su establecimiento o cuando es él el que inicia la llamada, el móvil del destinatario muestra en la pantalla la palabra "Ladrón" como identificador.
El usuario había reclamado a su operador de telefonía, que le dijo que no podían hacer nada. Angustiado por el impacto en la imagen que estaba proyectando a sus clientes, perdiendo algunos de ellos y ahuyentando a los interesados, el afectado ha sufrido el problema durante meses sin saber cómo solucionarlo.
Desde el INCIBE le explicaron que "alguien con la única intención de generar daño reputacional en su negocio, habría incluido el identificador mencionado en Google".
Estos identificadores de llamada se nutren de la colaboración de los usuarios y a través del nombre aportado en “Google Mi Negocio”, de tal forma que al realizar una llamada a través de un terminal Android, Google verifica la numeración contra su base de datos, mostrando en pantalla el nombre predefinido.
Cómo evitar que te roben el número con un Perfil de Empresa de Google
A falta de que Google implemente medidas de seguridad para validar que el propietario de un perfil tiene realmente acceso al número que ha introducido, la única solución por el momento es asociarlo cuanto antes al perfil de tu negocio, de forma que deje de estar disponible para ser usado en otros perfiles.