Telefónica sufrió un acceso no autorizado a sus sistemas el pasado septiembre, filtrándose las claves de la red wifi de 1,6 millones de clientes, una cifra muy superior a la manejada inicialmente. El patrón del ataque y servidores utilizados para mover la información apuntan al conocido hacker Alcasec detenido recientemente por la Policía Nacional.
Ninguna empresa se libra de la amenaza que supone una intrusión en sus sistemas informáticos y las operadoras de telecomunicaciones no son una excepción. En los últimos años Telefónica se ha enfrentado a varios incidentes. En noviembre de 2021 los clientes de sus marcas Movistar y O2 recibían un comunicado para informarles que los datos de identidad y contacto básicos se habían filtrado junto con los productos contratados. Casi un año después la operadora sufría otra fuga de datos. En este caso se trataba del acceso a los datos de acceso al router de fibra de los clientes, incluyendo el nombre de la red wifi y su contraseña. El comunicado de Movistar pedía cambiar la contraseña de la red, ya que la única forma con la que los atacantes podían sacar partido a la información filtrada era «estando físicamente en el rango de acceso de tu wifi».
Las fugas de datos generan mucha preocupación entre los clientes afectados y ello en buena parte es debido a la poca información que se facilita sobre las verdaderas dimensiones de los incidentes, lo que deja terreno para la especulación. En aquel momento no supimos cómo había sido posible que los delincuentes consiguiesen acceso a los sistemas de una operadora como Telefónica, aún más teniendo en cuenta que una de sus líneas de negocio se especializa en ciberseguridad. Tampoco supimos la cantidad de clientes afectados.
Los hackers consiguieron las claves engañando a empleados de la operadora
El periódico El Confidencial aporta ahora1, más de medio año después del incidente, algunos datos gracias al acceso a un informe interno de la operadora. En él se explica que el ataque se produjo durante el mes de septiembre, aunque Telefónica no informó a los afectados hasta el 28 de octubre. La operadora inició una investigación con la ayuda del Instituto Nacional de Ciberseguridad (Incibe) y el CNI para esclarecer los hechos. Actualmente el juzgado de primera instancia número 31 de Madrid está investigando el caso.
El informe de Telefónica indica que los atacantes accedieron a un aplicación corporativa denominada Magia utilizando credenciales legítimas de empleados de la operadora. Para obtenerlas se envió a trabajadores de Telefónica un mensaje SMS smishing donde se les pedía introducir sus datos de acceso en una página falsa ubicada en el proveedor Eranet, con sede en Hong Kong. Una vez dentro de los sistemas de Telefónica se copiaron los registros correspondientes a 1,6 millones de clientes y se almacenaron en un servidor del proveedor Cherry Servers en Lituania a la espera de ser vendidos.
1,6 millones es una cifra mucho más alta de la que se consideró en un primer momento y convierte el incidente en uno de los más graves sufridos por la operadora en los últimos años. Se trata del 33% de los 5,042 millones de clientes de fibra que tiene Movistar, es decir, la base de datos robada contiene los datos de acceso al router de 3 de cada 10 clientes de fibra. El informe interno admite que «la información adquirida por el/los atacantes podría poner en grave riesgo el secreto y la intimidad de las comunicaciones de un gran número de domicilios, empresas o administraciones públicas».
Cambiar la clave del wifi y la contraseña de acceso al router es básico para evitar que los datos que figuran en esta base de datos puedan utilizarse para intervenir la red local, desde donde es posible escanear equipos en busca de vulnerabilidades o espiar la actividad e intervenir la navegación modificando los DNS de la conexión, entre otras manipulaciones.