Ancel Útil fue deshabilitado Antel fue advertido de una nueva vulnerabilidad en su servicio

El hacker ético, Santiago Hernández, advirtió a la empresa de telecomunicaciones Antel sobre la falla en la seguridad de los servicios referida a un servicio que permitía modificar números amigos o destinos gratuitos.

En su blog personal, Hernández señaló que durante 13 años el servicio “Encuentra” contaba con los permisos necesarios para acceder a la ubicación en tiempo real de los celulares de la compañía. 

El bloguero inició una investigación a raíz de una persona que perdió su celular y lo llevó al servicio Encuentra, que estaba disponible desde 2008. Los móviles se podían localizar mediante la triangulación del celular, según especifica en su artículo Hernandez. 

“Hace un par de días estaba navegando en Instagram y vi una publicación de una persona que había perdido su celular”, inició su relato. Esto lo llevó a meditar sobre la posibilidad de que además de las “opciones clásicas”, como son Find My Device en Android o Find My en Iphone, el teléfono podría ubicarse de otra manera. 

De esta forma, el hacker ético encontró el sitio web Encuentra Antel. “Por la impresión que me da es un servicio olvidado dentro del sistema de Antel”, indicó. Para evaluar esta hipótesis se basó en algunos elementos bastante visibles: el plugin del cabezal de la página ya no funcionaba, la presentación gráfica del sitio era bastante vieja y debajo se podía divisar la fecha en que actualizaron el servicio en 2008. 

“Para ponernos en contexto que pasaba en 2008, hace unos meses había salido el primer iPhone, internet en los teléfonos móviles era muy precario y no estaba al acceso de todos. Es ahí donde este servicio quizás hacía sentido. Pude conseguir la siguiente captura de pantalla, esta información aún está publicada en el servicio”, analizó el hacker ético. 

Al ingresar el sitio pedía un número de teléfono en conjunto con la clave. Cómo Hernandez desconocía la clave a la que se refería el sitio, decidió optar por el “he olvidado la contraseña”, una opción indexa debajo de dos casillas vacías. 

De esta manera, le llegó un mensaje de texto con la nueva contraseña. “Es importante destacar en este punto como cualquier persona que posea nuestro número de teléfono puede solicitar que nos renueven la contraseña desde la web. También hay que destacar que la complejidad de la misma es muy débil, en este caso todas las combinaciones posibles están conformadas por números de 6 dígitos”, resumió Hernández. 

Las contraseñas del usuario se ubicaban dentro del rango 000000–999999. Este servicio denominado Ancel Útil, fue ratificado por otro hacker ético. Gonzalo López publicó en su Linkedin y explicó las vulnerabilidades del sistema ante maniobras de phishing o también para enviar mensajes y cargarle el costo al usuario. 

Ambos hackers éticos enviaron su reporte al Centro de Respuesta a Incidentes de Antel y no obtuvieron respuesta. Sin embargo, el servicio Ancel Útil fue deshabilitado pocas horas después, según informó El País.

Más datos:
La piratería ética efectiva se basa en el conocimiento de la red del sistema, el equipo, la interacción del usuario, las políticas, los procedimientos, la seguridad física y la cultura empresarial. A partir de esta conjetura se podría definir qué es el hacking ético.

Deja una respuesta

Su dirección de correo electrónico no será publicada.

Abrir chat