Un grave agujero de seguridad en Telefónica deja al descubierto miles de líneas de grandes empresas

La compañía vendió durante más de cuatro años un servicio de centralita IP con un enorme fallo: permitía acceder a mensajes de voz o suplantar identidades, entre otros.

Un grave agujero de seguridad en Telefónica deja al descubierto miles de líneas de grandes empresas
Entre las empresas que tienen contratado este servicio está el Club Atlético de Madrid. | Imagen: Europa Press.

La compañía Telefónica ha vendido durante más de cuatro años un servicio de centralita en la nube, Centrex IP, que permite a grandes empresas en España poder gestionar sus líneas de teléfono en diferentes sedes, con una grave vulnerabilidad. Según destapa el diario El Confidencial, hasta hace unos días cualquier administrador del servicio podía colarse en el sistema de otros clientes y tumbar líneas de teléfono, acceder a mensajes de voz, suplantar identidades o manipular y desviar llamadas.

La operadora de telecomunicaciones lo vendía como "plataforma fiable" y con "garantía de seguridad", pero este agujero es su seguridad existió desde al menos el año 2013, sólo dos años después del lanzamiento comercial del sistema.

Los nuevos clientes de Centrex IP reciben un nombre de usuario, el de la empresa, y una contraseña cuando se dan de alta en el sistema. El problema estaba en que la contraseña que recibían era una sucesión de números muy predecible, que incluía una cifra fija inicial, los tres primeros dígitos del código postal donde está ubicada la empresa y tres números correlativos.

Tan sólo con cambiar los últimos dígitos de la contraseña, cualquier persona podía colarse en la red de telefonía de otra compañía, con la posibilidad de poder desconectar las líneas de teléfono de todas las sedes o cambiar las extensiones, o incluso; redirigir a otro número las llamadas recibidas.

La alerta la ha dado un ingeniero informático que contrató este servicio en la nube para su empresa. "Es un fallo muy parecido al ocurrido con Lexnet del Ministerio de Justicia", señala al diario El Confidencial. Entre las empresas que tienen contratado este servicio está el Club Atlético de Madrid.

El Incibe recibió el fallo el 16 de noviembre

El Instituto Nacional de Ciberseguridad de España (Incibe) ha confirmado la recepción del aviso el 16 de noviembre. Tras comprobar el fallo, remitieron toda la información a Telefónica. Sin emabrgo, no ha sido hasta el pasado 29 de noviembre, tras una consulta de El Confidencial, cuando la operadora parcheó el servicio para solucionar el error.

Telefónica asegura que ahora ha modificado todas las contraseñas y está realizando un informe pericial para esclarecer lo ocurrido.

Ya somos 204.899