:: eliax.com - Parte 2 de Wind Telecom: Espectacular brecha de seguridad

texto: A- A+

miércoles, marzo 16, 2011

Parte 2 de Wind Telecom: Espectacular brecha de seguridad
eliax id: 8581 josé elías en mar 16, 2011 a las 01:52 PM ( 13:52 horas)

Ayer les comenté sobre mis malas impresiones de los tres servicios de Wind Telecom (Internet, Cable TV y Telefonía), hoy les hablaré de un problema de seguridad de la empresa que los dejará totalmente asombrados.

Poco después de publicar el artículo de ayer, Carlos Fanini, un colega del blog dominicano Ejercito Geek, me contactó telefónicamente para hablarme de algo que me dejó tan anonadado como espero dejarlos a ustedes en los próximos minutos...

Sucede que Carlos descubrió un problema en donde es posible, sin ser experto en redes o hacker de ningún tipo, configurar un programa de libre acceso y totalmente legal para el iPhone (y lo mismo pueden hacer en cualquier otra plataforma), para que este literalmente "secuestre" cualquier linea telefónica de usuarios de Wind Telecom (siendo la única excepción los números transferidos con portabilidad numérica desde otras empresas).

Es decir, hablamos de que las decenas de miles de usuarios de Wind Telecom que contratan su servicio de telefonía, ahora mismo, en este preciso momento, pueden ser víctimas de que alguien realice llamadas telefónicas con sus números, y de paso interceptar y recibir llamadas telefónicas.

Esto, desde cualquier punto de vista que lo vean, es una falla monumentalmente seria.

Con esta técnica (que se puede lograr en un par de minutos), cualquier persona puede impersonificar a cualquier usuario de Wind, para por ejemplo pedir datos personales o para dañar la imagen de una empresa. Y tan preocupante como esto, es que los minutos son cargadas a la cuenta del usuario, por lo que esto abre la oportunidad para que hackers o personas que quieran abusar de esta técnica empiecen a hacer llamadas ilimitadas a cualquier país y desde cualquier país, mientras tu pagas la factura.

Pero he aquí lo peor de esta historia, y el motivo principal por el cual escribo esto hoy: Carlos no solo le avisó hace un par de meses del problema a los técnicos de Wind, sino que incluso fue invitado a demostrar el problema a las mismas oficinas de Wind. Carlos incluso les indicó la manera de solucionar el problema, y los técnicos dijeron que en una semana resolverían la situación.

Me cuenta Carlos que la impresión que se llevó de la reunión es que no le había prestado atención, y efectivamente, dos meses después hicimos una prueba con un número Wind de un familiar, y Carlos efectivamente me interceptó la llamada (le dije que hiciéramos una prueba pues de verdad que era difícil de creer que una empresa tomara un problema tan serio como este a la ligera).

Así que Carlos y yo acordamos de que él en su blog de Ejercito Geek escribiera un artículo en donde le daría un plazo a Wind para prestar atención y resolver el problema, de lo contrario revelaría en un plazo de 7 días (con réplica acá en eliax) de la técnica para que sea de conocimiento público.

Y ojo, esto no es ni chantaje ni ilegal. El problema es tan trivial que lo conoce cualquier técnico de VoIP, por lo que no es un secreto. Y por otro lado, ni Carlos ni yo estamos cobrando ni pidiendo dinero a Wind para resolver el problema, lo que ambos deseamos es que este problema se resuelva, y que se resuelva inmediatamente.

Nota: Esta brecha de seguridad se suma a la que les comenté ayer, en donde todos los routers de Wind están abiertos a la administración de hackers, ya que no tienen claves específicas por usuario para la pantalla de administración del router, sino que utilizan las claves de fábrica por defecto (usuario "admin" y clave "admin").

Artículo de Carlos en Ejercito Geek con el ultimatum a Wind

autor: josé elías

40 comentarios

Tecno-Seguridad

Previamente en eliax:
Wind Telecom Dominicana, mis malas impresiones de sus servicios ( mar 15, 2011)

Posteriormente en eliax:
Wind Telecom responde a quejas de la blogosfera... (actualizado) ( mar 23, 2011)

Comentarios

Aayyyyyyy!!!!

#1 Dionys - marzo 16, 2011 - 04:05 PM (16:05 horas) (responder)
Estoy totalmente de acuerdo en que si Wind Telecom no resuelve su problema, pues que se abstengan a las consecuencias de sus malos negocios.

#2 Syruam - marzo 16, 2011 - 04:11 PM (16:11 horas) (responder)
-10 pa win telecom y otra cosa casi todos los servicios de cable de RD pasan sus propios comerciales quitando los del canal por el cual estas pagando, y como dijo eliax con un volumen que hasta daño hace en los oidos.

#3 Adriano - marzo 16, 2011 - 04:21 PM (16:21 horas) (responder)
En la casa de un compañero de clases mio el tiene Win telecom y se puede hacer magia para no especificar con ese equipo XD que mala administración tienen ellos...

#4 Elvis Manuel - marzo 16, 2011 - 04:25 PM (16:25 horas) (responder)
Eliax, eso està muy bien, la única manera de que recibamos por lo que estamos pagando, es presionar, de manera legal a las compañias que supuestamente nos venden servicios en optimas condiciones, te apoyo. y bien por esa!!!

#5 mixednews - marzo 16, 2011 - 04:41 PM (16:41 horas) (responder)
Jose E. no tenéis algún organismo de defensa al consumidor para presentar la denuncia pertinente?
Por lo que estoy leyendo, es un caso de estafa, de publicidad engañosa, de vulnerabilidad de datos, de no protección de clientes.
No me imagino que a un usuario normal, le carguen llamadas a su cuenta por valores de miles de dolares... y que después tenga problemas en demostrar que no lo hizo él.

Vosotros que tenéis más "poder" denunciar por los que seguramente no tienen medios. Me viene a la cabeza a ancianos que les pueda ocurrir eso.. y encontrarse desamparados..

#6 aker - marzo 16, 2011 - 05:17 PM (17:17 horas) (responder)

Si tenemos supuestamente una institución que se llama "Pro consumidor" e indotel creo que esta ultima es la encargada de regular esto de la telecomunicación, internet, etc...pero esto aquí en Rep. Dom. no funciona lamentablemente estamos en un pais tercermundista, donde el que tiene mas dinero es el que manda y el que no tiene nada no le hacen caso ni le prestan atención.

#6.1 ORAM - marzo 16, 2011 - 07:30 PM (19:30 horas) (responder)

Este tipo de problemas no se ven en Estados Unidos ya que la compañía hubiese tenido cientos de demandas que probablemente la llevarían a la quiebra.

Es increíble. Hasta cierto punto se le puede llamar arrogancia por parte de Wind, ya que se les mostró en sus caras el problema y no se mueven a resolverlo. No sólamente esto, se les da la solución y ni así lo resuelven. Es una burla, nada más que eso.

#7 Luis - marzo 16, 2011 - 05:23 PM (17:23 horas) (responder)

> http://www.wired.com/epicenter/2011/03/throttling-lawsuit-clearwire/

#7.1 Carlos Fanini (enlace) - marzo 17, 2011 - 08:33 AM (08:33 horas) (responder)

Wow!!

Que pena, creo que esta gente no sabe que si se acercan a los usuarios de sus sistemas diciendo que le entregarían lo mejor para ellos, y estos no cumplen, se ganan los dolores de cabeza más fuertes de una empresa; usuarios enojados...

que pena que no actúen como deben; el servicio se veía prometedor... y la verdad han quedado muy en malas con los que tienen el verdadero poder, los usuarios

#8 Emmanuel Bretón (enlace) - marzo 16, 2011 - 05:27 PM (17:27 horas) (responder)
Yo recomendaria que denunciaran esto a Indotel. para k lo pongan en orbita.

#9 Tronks - marzo 16, 2011 - 05:39 PM (17:39 horas) (responder)

http://www.indotel.gob.do/

#9.1 Tronks - marzo 16, 2011 - 05:49 PM (17:49 horas) (responder)
Tronks, Indotel solo es una pantallita, eso no resuelve ni regula nada en este pais.

#9.2 Israel - marzo 16, 2011 - 07:38 PM (19:38 horas) (responder)

Vamos a ver como las redes sociales ayudan estoy pasando los casos de estas denuncias a los periodicos digitales como DiarioLibre, Roberto Cavada espero pasarlo a otros a ver quien recoje la noticia de los malos servicios de telefonia que recibimos los usuarios citando esta pagina web y otras mas.

Esperemos que del resultado los empresarios sepan que hoy dia la gente esta despertando.

#10 JuanCristobal - marzo 16, 2011 - 06:28 PM (18:28 horas) (responder)
Quiero compartir con ustedes algunas vistas de imagenes tomadas mientras intente conversar con una persona de servicio al cliente via el chat de WindTelecom y esto fue lo que sucedió.

Espero que los link para las imagenes puedan verlas.

[URL=http://img339.imageshack.us/i/chatwind.jpg/][IMG]http://img339.imageshack.us/img339/4160/chatwind.jpg[/IMG][/URL]

[URL=http://img10.imageshack.us/i/chatwind1.jpg/][IMG]http://img10.imageshack.us/img10/5192/chatwind1.jpg[/IMG][/URL]

[URL=http://img692.imageshack.us/i/chatwind2.jpg/][IMG]http://img692.imageshack.us/img692/1986/chatwind2.jpg[/IMG][/URL]

Como pueden ver la persona me cerró la convesación cuando estaba escribiendo.

#11 JuanCristobal - marzo 16, 2011 - 06:53 PM (18:53 horas) (responder)

Asi me ha pasado varias veces en las ultimas semanas. Te dejan con la palabra en los dedos y cierran el chat :S

#11.1 Ingeniero Antonio - marzo 16, 2011 - 07:09 PM (19:09 horas) (responder)

JoseElias, Espero puedas aprobar el mensaje que incluí que contiene los link con algunas imagenes acerca del trato recibido via chat en la página de Wind...

#12 JuanCristobal - marzo 16, 2011 - 06:55 PM (18:55 horas) (responder)
Me parece excelente decisión la que tomaron, espero esta ves tomen en serio que los consumidores estamos unidos. Saludos

#13 Anonymous - marzo 16, 2011 - 07:04 PM (19:04 horas) (responder)
Ingreso cada cierto tiempo durante el día para leer tu opinión con respecto a los reactores nucleares de Japón. Imagino que darás una cobertura interesante sobre lo que algunos están comenzando a llamar "Apocalipsis".

#14 mendokon - marzo 16, 2011 - 07:36 PM (19:36 horas) (responder)
Seria muy bueno tambien, aprovechar este medio para tambien hablar sobre los otros proveedores de servicios de tv, internet, telefonia, hay tenemos a SKY,CLARO, ONE MAX, TRICOM ENTRE OTRAS.

#15 ORAM - marzo 16, 2011 - 07:39 PM (19:39 horas) (responder)
Hola alguien mas tiene problemas al entrar a eliax? Tarda una eternidad en cargar la pagina y en ocasiones simple mente no se puede acceder. Solo me pasa con esta pagina todas las demás me cargan bien, Saludos.

#16 CoBrHa - marzo 17, 2011 - 01:55 AM (01:55 horas) (responder)

Esque Wind Telecom aplicó un ataque DoS a Eliax jeje

#16.1 Giovanni (enlace) - marzo 17, 2011 - 02:01 AM (02:01 horas) (responder)

Jajaja... estaba pensando lo mismo, pero la pagina tiene problemas hace dias, pero como que mas desde el primer articulo sobre Wind. Tengo casi el dia entero por entrar, y muy pocas aveces he tenido acceso.

#16.1.1 Wilson - marzo 17, 2011 - 02:08 AM (02:08 horas) (responder)

fue solamente un problema temporal,
eso espero jejeje

#16.2 cglobal - marzo 17, 2011 - 02:10 AM (02:10 horas) (responder)
Apenas veo que en twitter comenta que es un problema con el hosting, no me di cuenta antes por que no suelo seguir a eliax por el twitter. xD

#16.3 CoBrHa - marzo 17, 2011 - 02:15 AM (02:15 horas) (responder)

como se llama la obra "la venganza de "wind telecom"

je je je,sera posible

#17 PEPE - marzo 17, 2011 - 03:15 AM (03:15 horas) (responder)
Lo único posible que veo de esto es un escenario donde Wind Telecom no haga nada y Ejercito Geek publique la falla de seguridad en su blog.

Esto a su vez es una acción que podría tomar Wind como ventaja para interponer una demanda contra Ejercito Geek por Difamación e Injuria y/o Daños y perjuicios y recuperar todas las posibles pérdidas causadas por esta falla a sus usuarios

:( qué dicen?

#19 Raymond - marzo 17, 2011 - 04:39 AM (04:39 horas) (responder)
Que verguenza debe de darles a los tecnicos de Wind y a la compañia en si...

Actualmente estan muy mal parados ante los usuarios.

#20 JeCs - marzo 17, 2011 - 10:54 AM (10:54 horas) (responder)
Muy bien por ambos, por Carlos y por ti José. Si no solucionan el problema, deben publicar la falla.

Ademas, publicarlas les libera de cualquier acusación de que solo ustedes tienen acceso a la información de esa importante brecha.

Carlos cumplió informando a Wind. Ahora a Wind le toca resolver.

#21 Franky Almonte (enlace) - marzo 17, 2011 - 11:20 AM (11:20 horas) (responder)
Y pensar que el Banco Mundial les acaba de prestar 33 millones de dolares! Espero que hagan buen uso de estos fondos.
http://www.listindiario.com.do/economia-and-negocios/2011/3/16/181260/Wind-Telecom-firma-acuerdo-por-US33-millones-con-el-BM

#22 Caminante - marzo 17, 2011 - 11:24 AM (11:24 horas) (responder)
No soy de su pais, pero es lamentable que exista una brecha de seguridad asi de grande y que la gente que no tiene conocimiento de ello pueda verse afectada. Que clase de personas trabajan alli como para tomarlo a la ligera siendo algo serio? no sera que ellos aun conociendo el problema se benefician del mismo? Deberian hacer eco de la noticia para que se esparsa entre los usuarios del servicio para hacer una demanda en masa ante su dependencia "Pro consumidor" o a quien le corresponda, porque considerando la situacion supongo que hay quienes tienen acceso a internet y se llegaran a enterar, pero el que no? que pasara con esas personas? no me parece justo lo que sucede. Mi area tambien es de sistemas, soy estudiante, pero no por ello me colgaria de una oportunidad como esa sabiendo que afectaria a otro, porque no me gustaria que me hicieran lo mismo. Pero bueno, les deseo de verdad que se pueda resolver esa situacion, espero no pasar por algo similar en Mexico, ahora con esto me ah entrado una ligera espinita sobre las compañias en general de servicios de internet, cable, telefono, etc...

#23 Serenity - marzo 17, 2011 - 12:40 PM (12:40 horas) (responder)
Elias:
Mi opinión es que la medida que pretenden tomar solo afectaría a los usuarios, ya que liberando la información para "secuestrar" las lineas, no faltará el malicioso que empezará a hacer mal uso de esa información. Se que de igual manera los hay y que en este momento es muy posible que así sea. Tal vez la intención de ustedes no es hacer ningún mal, todo lo contrario, pero tal vez la medida es la equivocada o lo mas precipitada. Reitero solo es una opinión.
Por ultimo agregar que las compañías cuando tienen problemas en sus respectivos sistemas, el que termina pagando las consecuencias somos los usuarios. Confió en que debe de haber algún método para poder hacer que las compañías cambien la forma en que ven la relación empresa-usuario.

#24 Alejandro - marzo 17, 2011 - 02:29 PM (14:29 horas) (responder)

Alejandro,

Si la medida de revelar la vulnerabilidad se hubiese tomado tan pronto esta fue descubierta, eso hubiera sido irresponsable.

Pero recuerda esto:

1. Se hizo todo el esfuerzo posible para que Wind viera el problema.

2. Se visitó a los técnicos de Wind y se les demostró el problema.

3. Se lee sugirió incluso la solución al problema.

4. Han transcurrido dos meses y Wind no ha hecho absolutamente nada al respecto.

Dado esos puntos lo único que queda es sacar la vulnerabilidad al público y que sean los clientes de Wind los que los presionen para que la corrijan.

#24.1 José Elías (enlace) - marzo 17, 2011 - 03:20 PM (15:20 horas) (responder)

y por que no simplemente dejan el servicio y se cambian de compañia?

#24.1.1 oscar salas - marzo 17, 2011 - 08:23 PM (20:23 horas) (responder)
E estado siguiendo de cerca este articulo en particular, ya que en mi país (México) sucede muy seguido con las telecomunicaciones, desconozco si en tu caso exista la posibilidad simplemente cambiar de compañía y empezar una campaña para que los usuarios empiecen a dejar el servicio. Menos usuarios para la compañía es menos dinero y mas presión para ser mas competitivo en el mercado, en cambio la medida de liberar una vulnerabilidad de ese grado solo afectaría mas a los usuarios en sus recibos de pagos, en posiblemente mas problemas de ámbitos mayores y que al final repercutirá mas a los usuarios, mientas la compañía seguirá recibiendo sus millones.

#24.1.2 Alejandro - marzo 18, 2011 - 12:13 AM (00:13 horas) (responder)

Estoy de acuerdo en que el tomar este tipo de medidas, al que van a afectar va a ser a los usuarios, pero el no divulgarlo perjudica aun mas a los usuarios, me explico:

Si no se divulga la información tan importante como una vulnerabilidad que descubrió Carlos Fanini, alguna(s) otra(s) persona(s) de seguro lo descubriría(n), y tal vez lo divulgarían solo a su gente mas allegada y estos a su vez a su gente, y poco a poco esta información la sabrían solo las personas que harían mal uso de ella, y cuando le llegue la información a una persona con valor civil como Carlos Fanini e hiciera publico dicha información, y no solo dar a conocer la vulnerabilidad sino que ademas les dice personalmente a los técnicos de la empresa y les dice como hacer su trabajo proponiendoles una solución, créeme pasaría mucho tiempo porque la mayoría de nosotros somos personas pasivas, preguntensen lo siguiente ¿Que haría si si yo hubiera descubierto dicha vulnerabilidad?

Gracias a dios, existe internet, el mejor instrumento para la información, y vulnerabilidades como esta se les da solución muy pronto, claro, a menos que la empresa quiera darle solución.

Lamentablemente este tipo de vulnerabilidad les afecta monetariamente directamente y a corto plazo a los usuarios y no a la empresa, pero si les puede afectar a largo plazo a la empresa, haciendo que los usuarios renuncien a sus servicios.

Aquí lo malo que veo no es tanto la vulnerabilidad que se tiene, sino que la empresa no les esta dando un servicio de calidad a sus usuarios, engañándolos prometiendoles un servicio que no ofrecen y ahora no dando pronta solución a un problema grave que afecta a sus usuarios.

Si esta empresa sigue como ahora, no creo que tenga un buen futuro.

#24.2 Emmanuel Perez - marzo 19, 2011 - 05:30 PM (17:30 horas) (responder)

Veía este tipo de problemas llegando desde antes de que ofrecieran sus servicios. En PUCMM, en Santiago de los caballeros RD, asistí a una conferencia que explicaba de que se trataba Wind. Creo que usted no estaba presente, pero en varias preguntas que le hacía el publico questionando la fiabilidad de la tecnología detrás de WindTelecom, simplemente contestaban con un argumento largo, hasta que se salían del contexto, y terminaban el comentario con alguna oferta que iban a ofrecer.

Concluyendo, jamás creí que esta compañía fuera a ser buena desde que fui a esa conferencia, porque noté que habían cosas que no dominaban, o simplemente brechas que no querían que el público supiera.

#25 Ramon Rodriguez - marzo 17, 2011 - 04:26 PM (16:26 horas) (responder)
Luego de leer todo esto, cualquiera pensaria que los servicios de Wind son GRATIS. Pero no lo son.... Entonces??

#26 Diego - marzo 19, 2011 - 01:50 PM (13:50 horas) (responder)
Eliax, quisiera que se hiciera lo mismo con las demas compañias de comunicaciones, todas prestan un mal servicio al cliente y siempre buscan las maneras de estafar al usuario.

No entiendo porque rayos la comunicacion en este pais la comunicacion es tan cara.

Me arepiento aver nacido aqui!

#27 Angel - marzo 22, 2011 - 10:15 PM (22:15 horas) (responder)
Is there any form in which i can get the WiMax Realms configuration of the 4g wimax Wind telecom in dominican republic?

Quien me dice la configuracion de WiMax Realms de la red 4g de Wind telecom en dominican republic?

#28 arv - agosto 28, 2012 - 06:06 AM (06:06 horas) (responder)

Añadir Comentario

tu nombre
tu email (opcional)
web personal (opcional)
en respuesta a...
comentario de caracteres máximo
9 + 2 =	requerido (control anti-SPAM)
¿De qué color es el cielo?:	requerido (control anti-SPAM)

"Excelente... casi me saca una lágrima... me has dejado con los ojos aguados"

por "Oziel" en ago 18, 2011