Cabecera-v2-web.jpg

Secuestro de buzón de voz, técnica utilizada por los atacantes para obtener acceso a cuentas de usuarios.


El buzón de voz es un sistema centralizado de manejo de mensajes que ofrecen las compañías telefónicas. Permite a los usuarios recibir, almacenar y gestionar mensajes de voz de las personas que llaman cuando se encuentran ausentes, con la línea ocupada o en una zona fuera de cobertura.

¿Qué pasó?

Este sistema de buzón de voz o contestador puede ser un gran recurso para que los atacantes consigan obtener acceso a las cuentas de usuarios de una víctima, mediante una técnica conocida como voicemail system hacking o secuestro del sistema de buzón de voz. Las compañías telefónicas permiten el acceso al buzón de voz no solo desde el propio número telefónico de un usuario, sino también a través de números de teléfono externo, con el fin de facilitar a sus usuarios el acceso a su sistema de buzón de voz, si se encuentran por ejemplo fuera del país. El acceso se protege con un código de seguridad, sin embargo, los códigos del contestador suelen ser poco seguros, muchos usuarios utilizan los códigos establecidos por defecto por el operador, que suelen ser o los últimos dígitos del número de teléfono o algo tan simple como 0000, 1111 o 1234, lo que facilita a un atacante el acceso al sistema de buzón de voz de un usuario con una clave débil. Se podría atacar al sistema de buzón de voz a través de fuerza bruta (por una secuencia de comandos), no requiere muchos recursos.

Muchas veces al momento de registro o restablecimiento de contraseñas, las plataformas online más importantes (Whatsapp, Telegram, Twitter, PayPal, etc) ofrecen dos opciones, llamada a un número de teléfono registrado o el envío de un SMS, ambos con el fin de brindar al usuario un código de verificación de seguridad.

¿Cómo funciona el secuestro de buzón de voz?


  1. El atacante solicita el restablecimiento de contraseña o el registro de una cuenta nueva, dependiendo de la plataforma al cual desea obtener acceso.
  2. A la hora de seleccionar el método de obtención del código de seguridad, el atacante selecciona el método de llamada, sí el teléfono de la víctima se encuentra fuera de servicio (apagado, en modo avión o en una zona fuera de cobertura), o no se contesta la llamada por 3 veces consecutivas o si hay otra llamada en curso, el código de seguridad de la cuenta queda grabado en el sistema de buzón de voz de la víctima.
  3. Con esto la tarea del atacante se resume en conseguir el código de verificación del buzón de voz, para ello:
    1. Primero debe averiguar a qué número se debe comunicar para acceder al buzón de voz de la víctima, ésto lo puede hacer con una simple búsqueda en internet.
    2. Llamar al número e ingresar la clave de seguridad del buzón de voz en caso de conocerlo, o tratar de averiguarlo mediante un ataque de fuerza bruta.
  4. Por último, ingresa el código de seguridad y así obtiene acceso a la cuenta de usuario de la víctima.

Se han confirmado casos en la región, donde se hizo uso de esta técnica y ha derivado en el acceso no autorizado a cuentas de usuarios de distintas plataformas. Walter Delgatti Neto, líder de un grupo de hackers, afirma haber utilizado esta técnica para comprometer las cuentas de Telegram del actual presidente del Brasil Jair Bolsonaro y sus tres Hijos. Otras víctimas han sido el Ministro de Justicia Sergio Moro, y el Ministro de Economía Paulo Guedes del país vecino.

Recomendaciones:

  • Desactive su sistema de buzón de voz por completo.
  • En el caso de que necesite el sistema buzón de voz o contestador, cambie la contraseña por defecto, e ingrese una contraseña segura que debe contener más de 4 dígitos y una combinación que no sea fácil de adivinar. En caso de dudas, puede comunicarse con su compañía telefónica y seguir los pasos indicados.
  • No asocie su número de teléfono a una plataforma online, si no es un requisito para una autenticación.
  • Evite divulgar el número de teléfono asociado a sus cuentas online.

Información adicional:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11