Tecnología > Ciberseguridad

"Ancel Útil": otra web de Antel con fallas que dejó expuestos datos de clientes

El fallo lo encontró tras un posteo del ente en su cuenta de Facebook el 12 de junio de ese año

Uno de los servicios de Antel permitía mandar SMS y cobraba al destinatario.

Tiempo de lectura: -'

27 de abril de 2021 a las 05:02

Luego de que el analista en seguridad informática Santiago Hernández encontrara vulnerabilidades en un servicio de Antel, otros expertos en ciberseguridad exploraron otras áreas de Antel y se preguntaron: "¿habrá algo más?".

Gonzalo López, un "security researcher" (investigador en seguridad) para la empresa Novarissec, encontró el fin de semana un problema en el servicio de autogestión cuyo nombre comercial lo había divulgado Antel en 2012 bajo el nombre "Ancel Útil".

El fallo lo encontró tras un posteo del ente en su cuenta de Facebook el 12 de junio de ese año. Allí ofrecía la posibilidad de ingresar, consultar o modificar los destinos y amigos "gratis" a través de su servicio.

El posteo de Facebook que le llamó la atención a Gonzalo López.

 

Lo que el usuario podía hacer era modificar su perfil: nombres, documento de identidad, correo electrónico, enviar mensajes de texto. 

Con el tiempo, todo se concentró en la nueva página web y este servicio quedó olvidado. Aunque, hasta este fin de semana, seguía en línea.

Seguía en línea, pero con problemas

Lo que pudo hacer este analista es comprobar alguna de las vulnerabilidades. El nombre de usuario era el número de celular. La contraseña se trataba de un número de seis dígitos. 

El ingreso al antiguo sistema de Ancel Útil.

El experto empleó un ataque de fuerza bruta: significa que creó todas las combinaciones posibles para poder dar con la contraseña indicada. Dependiendo de la computadora, llegar al código correcto puede demandar entre 10 minutos a dos horas, informó El País.

La falla que tenía este sitio web es que no presentaba "rate limit". Se trata de una medida de seguridad que bloquea ataques luego de que el usuario pruebe tres o hasta cinco veces una contraseña. En este caso no existía la medida de seguridad.

Una vez que el usuario pudiese ingresar al panel, podía encontrar datos personales como nombre completo, número de cédula de identidad, correo electrónico, entre otros. Entre ellos, los números "amigos" a los que el cliente de Antel tiene para comunicarse de manera gratuita.

La planilla que podía ser modificada por cualquier hacker con conocimientos de cómo vulnerar el sistema.

"También daba la posibilidad de dar de alta y baja servicios", indicó López.

Uno de los que les llamaba la atención era la posibilidad de crear un correo electrónico para recibir los SMS en el mail. Otro era la posibilidad de enviar SMS a través de esta herramienta "cargando el costo al destinatario".

Según el análisis de López, los ciberatacantes pueden utilizar esta herramienta para, por ejemplo, hackear la contraseña de otras personas mandando un link con contenido de phishing. Es decir, haciéndose pasar por Google o cualquier otro servicio para robar dinero o información. 

Este experto informó a Antel el fin de semana sobre estas fallas y en menos de 24 horas la compañía lo dio de baja. De todas formas, estuvo disponible durante al menos ocho años sin que a nadie le llamara la atención. Hasta que apareció Gonzalo López.

Uno de los servicios de Antel permitía mandar SMS y cobraba al destinatario.

"El gobierno debería invertir mas en la ciberseguridad. No es posible que estos errores pequeños estén en los sitios públicos donde están nuestros datos, todavía quedarán más servicios vulnerables, que seguramente otros colegas con tiempo puedan explorarlos o quizás yo en otro momento libre", indicó.
 

REPORTAR ERROR

Comentarios

Espacio habilitado solo para suscriptores. Suscribite y viví la experiencia más completa de información.

Registrate gratis y seguí navegando.

¿Ya estás registrado? iniciá sesión aquí.

Pasá de informarte a formar tu opinión.

Suscribite desde US$ 245 / mes

Elegí tu plan

Estás por alcanzar el límite de notas.

Suscribite ahora a

Te quedan 3 notas gratuitas.

Accedé ilimitado desde US$ 245 / mes

Esta es tu última nota gratuita.

Se parte de desde US$ 245 / mes

Alcanzaste el límite de notas gratuitas.

Elegí tu plan y accedé sin límites.

Ver planes

Contenido exclusivo de

Sé parte, pasá de informarte a formar tu opinión.

Si ya sos suscriptor Member, iniciá sesión acá

Cargando...