Cómo secuestrar cuentas online a través del contestador

17 Ago 2018

¿Quién utiliza el buzón de voz hoy en día? “Nadie” sería seguramente la primera respuesta de la mayoría. Es cierto que casi nadie utiliza el buzón de voz, pero muchos suscriptores de móviles cuentan con este servicio que todavía sigue en funcionamiento, aunque esté algo abandonado.

Y recuerda, que no utilices el buzón de voz, no quiere decir que nadie más lo use. En su informe “Compromising online accounts by cracking voicemail systems” (“Comprometer las cuentas online mediante el hackeo de sistemas de buzón de voz” en español) en DEF CON 26, el investigador de seguridad Martin Vigo demostró que tu buzón de voz puede ser de gran reclamo para los intrusos que buscan hackear tus cuentas online.

De hecho, la mayoría de los operadores permiten el acceso al buzón de voz no solo desde tu teléfono, sino también a través de un número de teléfono externo, en cuyo caso el acceso se protege con un código. Sin embargo, los códigos del contestador suelen ser poco seguros. Muchos suscriptores utilizan los códigos establecidos por defecto por el operador, que suelen ser o los últimos dígitos del número de teléfono o algo tan simple como 1111 o 1234.

Además, aunque el suscriptor se moleste en cambiar el código, la probabilidad de que algún intruso te visite sigue siendo muy alta. Como muestra otro estudio, cuando se trata de generar códigos, los usuarios son aún menos creativos que con las contraseñas.

Primero, el código suele constar de cuatro dígitos, aunque sea posible hacerlo más largo. Segundo, muchos usuarios optan por secuencias fáciles de recordar de cuatro dígitos idénticos o combinaciones como 1234, 9876, 2580 (la fila vertical central en el teclado del teléfono) entre otras. Los códigos que empiezan por 19 también son muy populares. Conociendo todas estas peculiaridades, hackear un buzón de voz resulta rápido y sencillo.

No hace falta probar todas las combinaciones de forma manual, esta tarea puede ser realizada por una secuencia de comandos que llama al número del buzón de voz e introduce diferentes combinaciones en el modo de tono. Es decir, se puede atacar el buzón de voz a través de fuerza bruta y, además, no requiere muchos recursos. “¿Y qué?”, pensarás, “No hay nada de valor en mi buzón de voz”, o eso es lo que crees.

Cómo hackear PayPal y WhatsApp mediante el buzón de voz

Cuando restauras una contraseña, muchos de los servicios online más importantes se ofrecen, entre otras opciones, a llamarte a un número de teléfono especificado en tu perfil para transmitir el código de verificación.

La tarea de los atacantes es simplemente conseguir el código del buzón de voz y esperar a que el teléfono de la víctima esté apagado o fuera de cobertura (por ejemplo, en modo avión). Entonces, solo tendrán que restaurar la contraseña en el servicio online y seleccionar como opción de verificación una llamada que irá directamente al contestador.

Martin Vigo demostró cómo se puede utilizar esta técnica para secuestrar una cuenta de WhatsApp.

Algunos recursos online emplean un proceso de verificación un poco distinto: el servicio vuelve a marcar el número de teléfono asociado con la cuenta y solicita al usuario que introduzca los números que aparecen en la página de restauración de contraseñas como verificación. Sin embargo, esto puede evitarse con la ayuda de un simple truco que consiste en configurar el mensaje del contestador con una grabación de los tonos del teclado que corresponden a los dígitos del código de restauración.

Un servicio online con este tipo de sistema de verificación es PayPal. Martin Vigo también lo ha hackeado con éxito:

Esto son solo unos cuantos ejemplos. De hecho, muchos otros servicios realizan una llamada de voz automatizado a un número de teléfono asociado para verificar la restauración de una contraseña o transmitir un código de autentificación de doble factor y de un solo uso.

Cómo protegerse del secuestro mediante el buzón de voz

  • Considera la opción de desactivar el buzón de voz por completo, de todas formas, no es muy práctico.
  • Si necesitas un contestador, utiliza un código seguro. Primero, debe contener más de cuatro dígitos, cuantos más, mejor. Y, segundo, la combinación debe ser difícil de adivinar y, preferiblemente, aleatoria.
  • No divulgues de forma indiscriminada el número de teléfono asociado a tus cuentas online. Cuanto más complicado sea casar tu identidad online con un número de teléfono, mejor.
  • No intentes asociar tu número de teléfono con un servicio online si no es un requisito previo o un requisito para una autentificación de doble factor.
  • Utiliza la autentificación de doble factor, a poder ser con aplicaciones como Google Authenticator o un dispositivo de hardware como YubiKey.