Hay fallos y fallos. Los hay pequeños y grandes, inocuos y peligrosos, impredecibles, inevitables y fácilmente prevenibles… Lo que no es tan común es encontrarse con uno que suscriba las etiquetas grande, peligroso, y fácilmente prevenible, y que sin embargo acabe llegando a la portada de muchos medios de comunicación.
Telefónica ha vendido durante más de cuatro años un servicio de centralita en la nube, Centrex IP, el cual es un servicio asociado a lo que se llama voz sobre IP (VoIP), que permite a grandes empresas en España poder gestionar sus líneas de teléfono en diferentes sedes y que, según se ha sabido, presenta una grave vulnerabilidad.
Según publica El Confidencial, hasta hace unos días cualquier administrador del servicio podía colarse en el sistema de otros clientes y tumbar líneas de teléfono, acceder a mensajes de voz, suplantar identidades o manipular y desviar llamadas.
La operadora de telecomunicaciones lo vendía como “plataforma fiable” y con “garantía de seguridad”, pero este agujero es su seguridad existió desde al menos el año 2013, sólo dos años después del lanzamiento comercial del sistema. Hasta el pasado 29 de noviembre Telefónica no parcheó el servicio para solucionar el error.
Los nuevos clientes de Centrex IP reciben un nombre de usuario, que es el de la empresa y una contraseña cuando se dan de alta en el sistema. El problema estaba en que la contraseña que recibían era una sucesión de números muy predecible, que incluía una cifra fija inicial, los tres primeros dígitos del código postal donde está ubicada la empresa y tres números correlativos.
Tan sólo con cambiar los últimos dígitos de la contraseña, cualquier persona podía colarse en la red de telefonía de otra compañía, con la posibilidad de poder desconectar las líneas de teléfono de todas las sedes o cambiar las extensiones, o incluso; redirigir a otro número las llamadas recibidas.
La alerta la ha dado un ingeniero informático que contrató este servicio en la nube para su empresa. “Es un fallo muy parecido al ocurrido con Lexnet del Ministerio de Justicia“, señala. Entre las empresas que tienen contratado este servicio está el Club Atlético de Madrid, el Grupo IFA, el Ayuntamiento de Tres Cantos (Madrid) o Dragados.
También en León, PYMES y Ayuntamientos han contratado este tipo de servicio de Telefónica, con el riesgo correspondiente.