Tecnología > Ciberseguridad
"Ancel Útil": otra web de Antel con fallas que dejó expuestos datos de clientes
Luego de que el analista en seguridad informática Santiago Hernández encontrara vulnerabilidades en un servicio de Antel, otros expertos en ciberseguridad exploraron otras áreas de Antel y se preguntaron: "¿habrá algo más?".
Gonzalo López, un "security researcher" (investigador en seguridad) para la empresa Novarissec, encontró el fin de semana un problema en el servicio de autogestión cuyo nombre comercial lo había divulgado Antel en 2012 bajo el nombre "Ancel Útil".
El fallo lo encontró tras un posteo del ente en su cuenta de Facebook el 12 de junio de ese año. Allí ofrecía la posibilidad de ingresar, consultar o modificar los destinos y amigos "gratis" a través de su servicio.
Lo que el usuario podía hacer era modificar su perfil: nombres, documento de identidad, correo electrónico, enviar mensajes de texto.
Con el tiempo, todo se concentró en la nueva página web y este servicio quedó olvidado. Aunque, hasta este fin de semana, seguía en línea.
Seguía en línea, pero con problemas
Lo que pudo hacer este analista es comprobar alguna de las vulnerabilidades. El nombre de usuario era el número de celular. La contraseña se trataba de un número de seis dígitos.
El experto empleó un ataque de fuerza bruta: significa que creó todas las combinaciones posibles para poder dar con la contraseña indicada. Dependiendo de la computadora, llegar al código correcto puede demandar entre 10 minutos a dos horas, informó El País.
La falla que tenía este sitio web es que no presentaba "rate limit". Se trata de una medida de seguridad que bloquea ataques luego de que el usuario pruebe tres o hasta cinco veces una contraseña. En este caso no existía la medida de seguridad.
Una vez que el usuario pudiese ingresar al panel, podía encontrar datos personales como nombre completo, número de cédula de identidad, correo electrónico, entre otros. Entre ellos, los números "amigos" a los que el cliente de Antel tiene para comunicarse de manera gratuita.
"También daba la posibilidad de dar de alta y baja servicios", indicó López.
Uno de los que les llamaba la atención era la posibilidad de crear un correo electrónico para recibir los SMS en el mail. Otro era la posibilidad de enviar SMS a través de esta herramienta "cargando el costo al destinatario".
Según el análisis de López, los ciberatacantes pueden utilizar esta herramienta para, por ejemplo, hackear la contraseña de otras personas mandando un link con contenido de phishing. Es decir, haciéndose pasar por Google o cualquier otro servicio para robar dinero o información.
Este experto informó a Antel el fin de semana sobre estas fallas y en menos de 24 horas la compañía lo dio de baja. De todas formas, estuvo disponible durante al menos ocho años sin que a nadie le llamara la atención. Hasta que apareció Gonzalo López.
"El gobierno debería invertir mas en la ciberseguridad. No es posible que estos errores pequeños estén en los sitios públicos donde están nuestros datos, todavía quedarán más servicios vulnerables, que seguramente otros colegas con tiempo puedan explorarlos o quizás yo en otro momento libre", indicó.
