Dejé que un pirata informático entrara en mi buzón de voz, y lo hizo en segundos.

Dejé que un pirata informático entrara en mi buzón de voz, y lo hizo en segundos.

“Hola, Dell. Este es Andrew en EFF. Nos desconectamos. Oh, creo que podrías estar llamándome '.


optad_b

Estaba jugando a la etiqueta telefónica con Andrew Crocker, un miembro de la abogacía de la Electronic Frontier Foundation, durante una conversación en curso sobre cartas de seguridad nacional . Era un mensaje de correo de voz de hace una semana que estaba en mi bandeja de entrada. Pero no estaba escuchando su mensaje en mi teléfono. Lo estaba leyendo en mi computadora portátil en una sala de chat con un pirata informático llamado 'Phr3ak'.

'Fin de la llamada', respondió Phr3ak, como si estuviera devolviendo mi bandeja de entrada, algo en lo que nunca volveré a confiar.



'Funciona para todos los operadores y ha sido probado en varios países', agregó. 'Con permiso, por supuesto'.

En realidad, Phr3ak es Jamie Woodruff , un investigador de seguridad de 21 años de Rishton, Inglaterra, que tenía permiso para entrar en mi buzón de voz. Si no lo hubiera hecho, su manifestación habría constituido un delito grave según la Ley de Protección de Datos de Gran Bretaña (DPA). Periodistas y detectives privados acusaron el ahora infame Noticias Escándalo internacional de piratería telefónica Se enfrentan años tras las rejas. En Estados Unidos, bueno, el fraude informático puede hacer que ganes décadas.

A pesar de la represión contra la piratería del correo de voz tras la controversia en Murdoch's Noticias del mundo , lamentablemente, el acto en sí es más fácil que nunca.

“Básicamente, la llamada saliente desde mi teléfono celular ... se transmite a mi servidor VoIP [Voice over IP]”, explicó Woodruff. “Luego falsifico la llamada saliente; Engaño a su teléfono para que piense que es usted quien llama localmente y, por lo tanto, evito el servidor de correo de voz '



Puede que eso no suene sencillo para el resto de nosotros, pero no es una técnica nueva. De hecho, en lo que respecta a la piratería, este exploit es elemental. Durante años, la gente ha estado 'suplantando' el teléfono, engañando a los sistemas telefónicos para que crean que están llamando desde un número diferente. La mayoría de las veces, se emplea como una broma inofensiva, pero hay aplicaciones mucho más diabólicas. Parecer ser un bufete de abogados, una comisaría de policía o una compañía telefónica para un extraño, por ejemplo, es una herramienta útil para los ingenieros sociales que buscan información que, de otro modo, sus marcas no revelarían.

Una herramienta rudimentaria actualmente disponible para el público se llama SpoofCard. Por un precio, los usuarios pueden marcar un número 800, ingresar su PIN único y tener cualquier número saliente que deseen. Para ocultar su identidad a las fuerzas del orden, el atacante puede realizar la llamada fácilmente mediante Skype mientras la enruta a través de una red privada virtual (VPN). Pero Woodruff no usa SpoofCard.

'SpoofCard apesta', comentó Woodruff después de organizar la infiltración de mi bandeja de entrada. 'El mío es gratis, más rápido y no requiere llamar a un número externo'. Sin embargo, los pasos para permanecer en el anonimato son los mismos: emplear una VPN y asegurarse de que los protocolos de VoIP se enruten a través del cifrado web estándar (SSL).

Engañar a la compañía telefónica para que pensara que él era yo fue esencial para la demostración de Woodruff. Desde cualquier otro número, el sistema siempre requerirá mi código PIN único. Haciéndose pasar por mí (o, mejor dicho, mi teléfono), podía escuchar todos mis mensajes, borrarlos, cambiar mi saludo e incluso mi contraseña.

Afortunadamente, puedo reparar este agujero simplemente solicitando un código PIN en todo momento. Pronto supe que muchos de mis amigos, sin embargo, no tienen esta opción habilitada. (Varios de mis colegas se apresuraron a ajustar su propia configuración de correo de voz mientras hablábamos de esta historia).

Woodruff, que se describe a sí mismo como un hacker ético, fue firme en que nunca usaría su método para atacar a nadie, al menos, no sin su permiso. “Siempre tengo autorización escrita y verbal”, dijo.



En un hackathon de la Universidad de Southampton en abril pasado, Woodruff identificó una vulnerabilidad en Facebook y fue reconocido como un ingeniero de pruebas de penetración por expertos en seguridad de TI ( UNO MISMO ), una certificación reconocida por la Agencia de Seguridad Nacional (NSA). La semana pasada en Innotech Summit 2014, compartió escenario con el ex hacker de Lulzsec Mustafah Al-Bassam y el alcalde de Londres Borris Johnson para hablar sobre privacidad, datos y legislación en línea.

Aunque fui capaz de defenderme del ataque de Woodruff cambiando algunas configuraciones, hay otra falla de seguridad importante de la que nunca me libraré: la compañía telefónica. Los agentes de servicio al cliente tienen demasiado poder. Si alguien fuera lo suficientemente convincente, o tal vez tuviera la información correcta sobre mí, con gusto restablecería mi contraseña.

'Puedo llorar y fingir que tengo demencia', escribió Woodruff con seguridad. “Ellos cederán. Confía en mí. Cuando la gente está fuera de la zona de confort, es fácil '.

Los piratas informáticos confían más que nunca en la pereza humana predecible para obtener el acceso que necesitan, especialmente ahora que tantas empresas están tomando medidas para mejorar las garantías de privacidad. Es posible que una computadora tarde días o semanas en adivinar mi contraseña, si es que se permite tal ataque. No hace falta ser un genio para extraer unos pequeños fragmentos de información: respuestas obvias a preguntas de seguridad obvias; el apellido de soltera de mi madre; o un número de seguro social (SSN) de 9 dígitos que he usado desde que nací.

Y si la compañía telefónica no puede ser estafada tan fácilmente, siempre está usted.

Imagínese recibir una llamada urgente en un momento menos que operativo. Es del banco, dice su identificador de llamadas. Alguien está intentando vaciar tu cuenta. Un empleado atento del departamento de fraude dice que marcó la actividad sospechosa. '¿Le gustaría autorizar este retiro, señor?' Por supuesto que no. '¿Puede verificar los últimos cuatro dígitos de su número de seguro social?'

Sí, mi codiciado y supersecreto SSN; eso es todo lo que me pidió mi compañía telefónica cuando llamé para restablecer mi preciado código PIN. ¿Y qué es un SSN? Un número que no puedo cambiar, que es lo que me dicen que haga con las contraseñas con regularidad. ¿Quién tiene acceso a él? Todas las agencias del gobierno de EE. UU. Y casi todas las empresas con las que he tenido un contrato. ¿Podríamos hacer que robar algo sea más fácil?

'¿Hay algo que las compañías telefónicas puedan hacer para detener esto?' un yo roto finalmente le pregunta a Woodruff.

“No hay nada que puedan hacer”, responde. 'Incluso la autenticación de 2 factores estropearía la llamada o cabrearía a la gente'.

'Entonces, ¿probablemente deberíamos dejar de usar nuestro correo de voz?'

'Si.'

Foto por Salimfadhley / Flickr (CC BY SA 2.0) | Remix de Fernando Alfonso III