CIBERSEGURIDAD

Encontraron una falla de seguridad en otro servicio de Antel: ¿cuáles son los riesgos?

La semana pasada un hacker uruguayo descubrió una falla en el servicio "Encuentra" de la compañía y ahora hay un segundo caso, en el servicio Ancel Útil.

Plataformas: este año hubo al menos cuatro operando en Uruguay. Foto: Archivo
Foto: Archivo

La semana pasada un hacker uruguayo descubrió una falla en un servicio de Antel: Santiago Hernández halló un problema en el servicio “Encuentra”, que permite conocer la ubicación en tiempo real de los clientes de la compañía pública de telecomunicaciones.

Por estos días la historia se repite: Gonzalo López, profesional de la seguridad, la defensa y la inteligencia que está cursando el último módulo de la Maestría en Ciberseguridad, además de la licenciatura en Seguridad Pública, demostró que en otro de los servicios de Antel ocurría lo mismo.

“Luego del descubrimiento del colega Santiago Hernández realicé una mini PoC rápida sobre otro servicio de ANTEL llamado “Ancel Util” para demostrar como nuestros datos personales entre otros servicios (ENVIOS DE SMS FALSOS) son accesibles para cualquier persona con solo 5 minutos de su tiempo y un plugin. RECALCO QUE LAS PRUEBAS FUERON ECHAS SOBRE MI NUMERO DE TELEFONO y también aclaro que envié la PoC al csirt de Antel”, contó el joven en una publicación en LinkedIn.

Unas horas después de la publicación y el aviso que realizó a la compañía, Antel deshabilitó el servicio “Ancel Útil”.

¿Qué es una PoC?

López explicó a El País que una PoC, o Prueba de Concepto, es un testeo realizado a menor escala con el fin de demostrar mediante los hechos lo que se formuló en una teoría. "Es decir, tratar de probar la viabilidad del proyecto o la idea, en este caso la Prueba de Concepto era demostrar que se pueden seguir empleando los sistemas informáticos sin ninguna complicación para realizar el envío de mensajes de texto simulando ser otra persona, aunque en este caso he utilizado mi propia cuenta, esto se hace extensible a todos los usuarios y eso es una vulnerabilidad que se transforma en un riesgo a la seguridad del sistema poniendo en riesgo no solo la confidencialidad de los datos de los usuarios, sino que puede ser utilizado con fines delictivos o maliciosos”, sostuvo.

La importancia de las actualizaciones.

El experto señaló que con estas situaciones que se encuentran, queda en evidencia la importancia de que los sistemas sean actualizados: el hecho de que no suceda eso “demuestra lo paupérrimo de las medidas de seguridad de la información que se adoptaron desde hace años y que aunque públicamente se diga que Uruguay es el país más ciberseguro, eso es engañoso, el hecho lo podemos ver los últimos días mediante ataques a las compañías de tarjetas prepagas y no solo eso, esta última semana he recibido consultas sobre ataques que se han enviado vía SMS (Smishing) para robar los usuarios y contraseñas de los clientes de las principales entidades bancarias y financieras del país”.

¿Cuáles son los riesgos para los usuarios?

Consultado sobre los riesgos que suponen estos errores de seguridad para los usuarios, el experto detalló que “el riesgo para los usuarios es muy alto y aunque en algunos casos como el BROU tienen implementado factor de autenticación doble o mediante la llave digital, otros no”.

Por eso, sostuvo, es indispensable difundir a la población mensajes de concientización en los que se explique que se deben adoptar medidas de seguridad: “El resultado puede ser, como lo hemos visto en estos días, pérdida de dinero para los clientes, pérdida de confiabilidad para las empresas y desconfianza generalizada, de hecho podemos ver que ahora muchos comercios que están en las principales aplicaciones de deliverys ya no aceptan las tarjetas de algunas entidades afectadas por los suceso de la semana pasada por miedo a que las transacciones puedan derivar en algún tipo de ataque”.

¿Qué es un "hacker ético?

Tanto Hernández como López son “hackers éticos”: “Es una forma de vida que incluye toda una cosmovisión ética respecto al hacking o la intrusión de los sistemas informáticos, pero de forma acotada podemos definirlo como un individuo que posee una formación en técnicas de hacking pero que las emplea para subsanar esas vulnerabilidades que descubrió en favor del propio damnificado y no en beneficio propio como lo haría un hacker malicioso”, explicó el experto.

Reportar error
Enviado
Error
Reportar error