BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Comprometidas las claves del router HGU de algunos clientes tras un ciberataque a Telefónica

Josh
8
fuga-datos-movistar.webp

Telefónica ha sufrido una brecha de seguridad en las últimas semanas que ha comprometido las contraseñas de acceso a una cantidad no determinada de routers utilizados por los clientes. La operadora está enviado un comunicado a los clientes afectados para pedir que cambien la contraseña de la red wifi como medida de protección.

Los datos filtrados no incluyen información personal de clientes a parte del número de teléfono fijo sobre el que se presta el servicio, pero sí datos de configuración de los equipos que tiene instalados, como el router, repetidores wifi y decodificador de TV. Estos son algunos de datos que se mencionan en el comunicado:

  • Número de teléfono
  • Dirección MAC
  • Configuración de los puertos de la conexión
  • Nombre de la red wifi
  • Contraseña

La gestión remota del equipo fuera de la red local viene por defecto deshabilitada y para utilizar la clave del wifi el atacante debe estar en la red local o en las proximidades del equipo, por lo que el impacto de la filtración es limitado.

Comunicado de Movistar

En Movistar, trabajamos permanentemente para que tu relación con nosotros sea lo más transparente posible y así ganarnos tu confianza día a día. Por eso queremos que estés al tanto de una información relevante relacionada con la privacidad de tus datos.

El equipo de seguridad de Movistar ha detectado un acceso no autorizado a los datos técnicos o de configuración de algunos equipos que prestan los servicios asociados a tu número de teléfono fijo (router, descodificador de la TV, amplificador wifi, etc.).

Estos datos técnicos o de configuración no permiten tu identificación directa dado que son el identificador único del dispositivo (la MAC) y detalles del fabricante del equipo, configuración de los puertos de la conexión, nombre de la red wifi y su contraseña.

Para tu tranquilidad, hemos tomado de forma inmediata las medidas necesarias para que esta circunstancia no vuelva a producirse, y te confirmamos que no está afectado ningún otro dato o información de carácter sensible (nombre y apellidos, dirección postal, datos de facturación, cuenta bancaria, detalle de llamadas,…).

Los datos sustraídos no pueden explotarse de manera remota, la única manera de usarlos es estando físicamente en el rango de acceso de tu WIFI. Te recomendamos que cambies la contraseña de acceso a tu WIFI para incrementar la seguridad de tu red y evitar un posible acceso no deseado. Es aconsejable realizar esta actualización periódicamente. Puedes hacer esto de forma muy sencilla, te enseñamos cómo en el siguiente enlace: https://www.movistar.es/claverouter

Para más información, puedes contactar con nosotros a través del Delegado de Protección de Datos de Movistar, a quien te puedes dirigir a través de la dirección

Queremos pedirte disculpas por las molestias que esta situación te pueda ocasionar. Te recordamos que estamos a tu disposición en el 1004.

Gracias por confiar en nosotros

Equipo Movistar

Comunicado de O2

Nos ponemos en contacto contigo con relación a una información relevante sobre la privacidad de tus datos.

Hemos detectado un acceso no autorizado a los datos técnicos o de configuración de algunos equipos que prestan los servicios asociados a tu número de teléfono fijo como pueden ser el router o un amplificador WiFi.

Te pedimos disculpas, estos datos técnicos o de configuración no permiten tu identificación directa, dado que son el identificador único del dispositivo (la MAC) y detalles del fabricante del equipo, configuración de los puertos de la conexión, nombre de la red WiFi y su contraseña.

En cualquier caso y para tu tranquilidad, hemos tomado las medidas necesarias de forma inmediata para que esta circunstancia no vuelva a producirse, y te confirmamos que no está afectado ningún otro dato o información más sensible como tu nombre y apellidos, dirección postal, datos de facturación, cuenta bancaria, detalle de llamadas o tu usuario o contraseña para acceder a la app de Mi O2.

Los datos sustraídos no pueden explotarse de manera remota, la única manera de usarlos es estando físicamente en el rango de acceso de tu WiFi. Te recomendamos que cambies la contraseña de acceso a tu WiFi para incrementar la seguridad de tu red y evitar un posible acceso no deseado. Es aconsejable realizar esta actualización periódicamente. Puedes hacer esto de forma muy sencilla, te enseñamos cómo en este enlace.

Si necesitas más información, puedes contactar con nosotros a través del Delegado de Protección de Datos de O2, a quien te puedes dirigir a través de la dirección o llamar a nuestro número de atención 1551 donde podremos ayudarte a resolver tus dudas.

Queremos pedirte disculpas de nuevo por las molestias que esta situación te pueda ocasionar.

Un saludo

El equipo de O2

amp.expansion.com/empresas/tecnologia/20…28b460e.html

ffiibbrraa

Hace 1 minuto estaba leyendo un email donde O2 me advertía de lo que este post explica. El email lo recibí hace 10 minutos…

🗨️ 3
Intruso
2

Yo tambien lo he recibido.

🗨️ 2
kanemoto

Tenias cambiada la clave del router o estaba la que trae por defecto?

A mi todavía no me llegó el correo.

Un saludo.

🗨️ 1
Intruso
1

Si, siempre las cambio tanto de router como wifi.

Galocente

Como no lo especifica, yo entiendo que hay que cambiarla aunque ya no tuvieses la contraseña por defecto, ¿no?, es decir cambiarla si o si.

AleXGamer

Cambiada la contraseña del router.

Xenomorph

Coño, yo devolví el HGU ese, hace tiempo, ni le encendí, sigo usando un D-Link propio, en mi caso no tengo que hacer nada verdad ?

🗨️ 1
Jav9i

Entiendo que solo los HGU de han visto afectados, aunque seguramente es cualquier equipo proporcionado por Movistar, como tu equipo no es porporcinado por Movistar, eres inmune a esta brecha de seguridad

Castillos
1

Mi HGU está guardado en su caja y ahí se va a quedar hasta que cambie de compañía.

Por incidentes como este, me alegro de haber puesto un router Mikrotik con seguridad WPA3

🗨️ 7
lhacc
1

¿Qué tienen que ver incidentes como este con seguridad WPA3?

🗨️ 4
Castillos
1

Con un router neutro no te afecta este tipo de incidentes. Lo decía por eso.

Pero ahora que lo mencionas, WPA3 evita que alguien capture datos y pruebe contraseñas offline con ataque de diccionario, al utilizar un protocolo de intercambio de claves basado en Diffie-Hellman (Dragonfly), por lo que no te prácticamente no te afectaría que se filtrase un diccionario de claves Movistar/O2, a menos que se filtren contraseñas asociadas al SSID. Digamos que ayudaría a mitigar el incidente. Además, algunos routers neutros permiten utilizar un servidor RADIUS y prescindir totalmente de las claves precompartidas WiFi. Excepto con los HGU WiFi6, no puedes utilizar WPA3-SAE con un HGU. Con un router neutro si puedes, incluso puedes utilizar WPA3-EAP 192 si lo deseas y tu router neutro lo soporte (como los Mikrotik con soporte wave2 o wifi ax).

En conclusión, con un router neutro no te afectan este tipo de incidentes. Y WPA3, si bien no evita recomendar que se cambien las contraseñas, al menos mitigaría el incidente en caso de que filtrasen solamente las contraseñas WiFi (y no las SSID asociadas), al hacer inútil un ataque offline por diccionario.

🗨️ 3
pepejil
1

Lo que se han filtrado son las claves de configuración de telecarga, con los parámetros por defecto cuando se provisiona un dispositivo de la operadora.

Pongamos que el router de la operadora ya tiene WPA3 (que eso ya lo tienen los nuevos dispositivos con Wi-Fi 6). Si se sabe la clave de antemano (porque tanto el SSID por defecto como la clave se condicionan por la MAC del dispositivo) estás igual de jodido. Aquí no se usa diccionarios para probar contraseñas, porque la contraseña ya la saben en el momento que obtienen la BSSID. Simplemente es meter el BSSID en el buscador de la base de datos filtrada para coger la clave, meterlo para conectar y ya estás dentro de la red Wi-Fi si el dueño no ha sido precavido y no ha cambiado las claves.

Antaño había muchas aplicaciones que "rompian Wi-Fis" en segundos. No tenían ningún misterio, simplemente eran algoritmos filtrados para generar contraseñas usando el random string que genera las SSID de las redes por defecto (estilo MOVISTAR_XXXX o MiWifi_XXXX) (el "XXXX" es el random string). Con la noticia de este artículo, ya tienen nuevos métodos para acceder a las redes Wi-Fi de los clientes que no hayan cambiado las SSID y/o contraseñas. Así que no tardaremos en ver nuevas aplicaciones adaptadas a esta filtración.

Así que tiene razón @lhacc, que uses WPA3 no tiene nada que ver con todo esto. El atacante no necesita hacer esas pruebas que mitigan WPA3 como dices, porque la clave ya la tienen.

Y sobre el "plus" por usar un router neutro tampoco es suficiente. Cualquier router es atacable en el momento que no personalizamos las contraseñas.

🗨️ 2
heffeque
🗨️ 1
pepejil
1
Frodo San

Con todos los respetos; Me parece muy bien que te sientas seguro, pero el hecho de usar un router de terceros tampoco te asegura nada de nada.

Cualquier aparato conectado a Internet es susceptible de tener vulnerabilidades incluido tu Mikrotik (Que las ha tenido bien gordas y las seguirá teniendo como todos los fabricantes)

Es más, estoy convencido que para un usuario "normal" es mucho más seguro el router de la operadora que un Mikrotik mal configurado, ya que encima le proporciona un falso sentimiento de seguridad que no tiene.

Respecto al WPA3, es un gran avance, pero estamos en las mismas. El WPA3 es un estándar adoptado por las compañías; Cuando la gente por ahí, que es muy lista, descubra como crakearlo, caerá tu mikrotik y cualquier otro fabricante que lo use.

De todas formas, ahora mismo, un WPA2 con radius y certificados con AES… tampoco te lo revienta cualquiera ;-)

Saludetes!

🗨️ 1
Castillos
1

De todas formas, ahora mismo, un WPA2 con radius y certificados con AES… tampoco te lo revienta cualquiera ;-)

¿WPA2-EAP lo permite usar un router de operadora?, ¿lo permite usar un HGU? Porque si no lo permite, estamos en las mismas. Al final, tienes que recurrir a un router neutro.

No entiendo muy bien lo que quieres decir con que" Cuando la gente por ahí, que es muy lista, descubra como crakearlo, caerá tu mikrotik y cualquier otro fabricante que lo use." En 2017, ya salieron vulnerabilidades en WPA2 publicadas por el investigador Mathy Vanhoef, y se parchearon tanto en clientes y routers. Y en 2019 con WPA3 también el mismo investigador publicó vulnerabilidades basadas en ataques de canal lateral contra WPA3-SAE que utilizasen ciertos grupos DH y contra WPA3-EAP-pwd. También tomaron nota los fabricantes y los que estuviesen afectados actuaron en consecuencia. Siempre van a salir debilidades, y también saldrán las correcciones o las mitigaciones. Pero al menos, con un router neutro tienes la opción de elegir protocolo. Con un HGU WiFi5 como mucho puedes poner WPA2-PSK. Con un router neutro, tienes bastantes más para elegir (y las probabilidades de ser afectado por una vulnerabilidad concreta, se reducen).

Respecto a las vulnerabilidades de Mikrotik, que yo sepa para que te explotasen una las vulnerabilidad grave tenías que tener algún puerto abierto a Internet como el 8291 (Winbox), cosa que por defecto no lo tienes abierto a Internet. Por eso la gran mayoría de routers Mikrotik no fueron hackeados por "botnet" a pesar de tener la vulnerabilidad. En cambio, los HGU si que tienen puertos abiertos (aunque filtrados por IP) para que los técnicos de Movistar se puedan conectar remotamente al HGU, y también para que funcione el Portal Alejandra. Con un router neutro, tampoco tienes necesidad de abrir puertos, porque puedes montar una VPN con IKE2v2, WireGuard… cosa que con un HGU tampoco puedes. Solamente por la opción de usar VPN, cosa que con un HGU no puedes al menos que instales hardware adicional en tu red local, demuestra que es bastante mejor opción un router neutro en cuanto a seguridad.

Actualizaciones de sistema operativo y firmware… con un router neutro el usuario suele tener opción de hacerlas manualmente o automáticamente. Si lo haces manualmente, sabes las mejoras que tiene la actualización o si corrigen alguna vulnerabilidad CVE. Con un HGU te comes sí o sí las actualizaciones de firmware aunque no te gusten (y a muchos usuarios no les han gustado). A mi me resulta más seguras las posibilidades del router neutro.

Y por supuesto que un router neutro no es para todo el mundo. Hacen falta un mínimo de conocimientos. Pero creía que esta web no era para usuarios "normales" ;) , sino para "avanzados" que tuviesen inquietudes y un mínimo de conocimientos en redes.

Amenhotep

Pues a mi me preocupa que se filtre la información sobre los puertos de conexión. Entiendo que se trata de las redirecciones NAT.

Un atacante podría saber qué puertos son más usados y dirigir ahí sus ataques web, RDP, etc. Así que pueden explotarse remotamente.

Eso siempre y cuando no se haya filtrado también la información de los DNS dinámicos en cuyo caso el riesgo es mucho mayor ya que los ataques podrían ir perfectamente dirigidos.

Imagino que lo que se ha filtrado es la información que maneja el portal Alejandra y no se si los DNS dinámicos están incluidos.

Galocente

¿No hay nadie que sepa si los que no tenemos la contraseña por defecto también debemos cambiarla?

Cambiarla en el router significa cambiarla también en todos los equipos y los móviles, y es un engorro, pero si es necesario…

Yo admito que no la cambio nunca.

🗨️ 2
superllo

Probablemente se hayan hecho con una base de datos de las contraseñas por defecto de algún modelo de router y si la has cambiado simplemente no hará falta que hagas nada más.

🗨️ 1
Galocente

Como dices, es lo mas probable, pero podrían aclararlo.

También es posible que dejen la ambigüedad porque y para que cambiemos las claves el mayor numero de usuarios posible, asi ellos se curan en salud y porque cambiar las claves cada cierto tiempo también es saludable para todos

Muchas gracias.

José Fernando

A mí no me ha llegado nada. ¿Puede ser que solo se lo envíen a los clientes afectados?

🗨️ 2
CuloDePez

Yo igual, pensaba que era algo general, pero no me ha llegado nada. Debe de ser en algún modelo específico del HGU, no todos.

🗨️ 1
José Fernando

Me acaba de llegar el correo.

Mitoni

Aquí no se ha recibido ninguna comunicación. Yo tengo un problema con la contraseña del router. Si cambio las contraseñas de la wifi por defecto, ya no puedo acceder via inalámbrica.

Hasta ahora nadie me ha creído. ¿Qué pasará cuando tenga que cambiar las contraseñas y no me funcione el wifi?

Se harán cargo los de O2?

🗨️ 11
apocalypse

Si cambio las contraseñas de la wifi por defecto, ya no puedo acceder via inalámbrica.

Una vez la cambies, si no cambias también el SSID, tienes que borrar la red que tengas guardada con la anterior contraseña en todos los dispositivos y volver a conectar con la nueva.

🗨️ 1
Mitoni

Ok, probaré a ver

lhacc

Si tienes algún problema, siempre puedes conectar por cable el portátil al router y seguir entrando al área de administración.

pepejil

En el momento que cambias una contraseña en alguno de los SSID, debes reasociar los dispositivos a esa Wi-Fi con la nueva clave.

No entiendo donde está el problema.

🗨️ 5
Mitoni

Accedo al wifi con la nueva clave y se queda conectando… pero nunca termina de darme acceso. Y cuando vuelvo a poner en el router la misma contraseña de antes, si que me deja entrar.

Acabo de encontrar un mensaje que puse el año pasado que decía:

"A mi me pasaba que cuando quería cambiar la contraseña por defecto de la banda de 2,4 GHz, luego no podía conectar ningún aparato a este wifi. Sin embargo la banda de 5GHz si me dejaba conectar los aparatos compatibles. Así que opté por no cambiar nunca dicha contraseña si quería usar esa banda."

🗨️ 4
pepejil
1

Entonces no estás aplicando los cambios o los estás aplicando al SSID incorrecto.

🗨️ 3
Mitoni
🗨️ 1
pepejil
Mitoni
José Fernando
1

Si cambias la contraseña wifi en el router, también tienes que cambiarla en los dispositivos. La misma en todos 🤦🏻‍♂️

🗨️ 1
Mitoni

Eso es verdad! Pero ese no es el problema.

Rico Peregrin

Se ve que Chema Alonso y Eleven Paths no lo vieron venir,¿no se supone que telefónica tiene el mejor área de cibersegurifad?