Vulnerabilidad del operador

Sin hacer demasiadas vueltas de palabras te diré de inmediato cuál sería el problema. En el momento de escribir este artículo, me di cuenta de un error de programación conceptual de la aplicación oficial de uno de los operadores telefónicos más grandes de Italia. No sé si este es un problema conocido, pero el servicio de atención al cliente que alerté tan pronto como me di cuenta me dijo que no era una cosa conocida. Se lo dirán al departamento técnico y nos mantendrán informados.

No nombraré a este operador telefónico en este artículo para evitar dañarlo e incurrir en impugnaciones legales.

En la práctica es una vulnerabilidad conceptual que te expone a un llamado HOMBRE EN EL ATAQUE MIDDLE. Tal ataque generalmente permite a un atacante colarse en medio de una conexión con el propósito de ejecutar comandos o simplemente adquirir información.

En este caso concreto, se hace referencia a una gran parte de la información que proporciona la aplicación.


Cómo funciona el error de esta aplicación

Imagina dos teléfonos móviles smartphone, el primero lo llamaremos ALFA o primario y el segundo lo llamaremos BETA o secundario. El smartphone principal comparte la conexión de datos con el smartphone secundario en modo hotspot. Porque, por razones supuestamente debidas a la facilidad de uso y conveniencia, la aplicación oficial del teléfono inteligente del operador telefónico, en el momento de la escritura, también contempla el acceso directo a través de la dirección IP perteneciente a la piscina ip asignable por el operador en cuestión (por lo que sin introducir credenciales), el smartphone BETA, es decir, el smartphone que se conecta a la conexión compartida, heredando la misma dirección IP, ejecutando la misma aplicación, tiene acceso a la misma aplicación smartphone que comparte la conexión, que es el ALFA.

Por qué esto podría ser un problema

Aunque normalmente compartes la conexión para permitir que una o más personas conocidas por nosotros se conecten, es justo que sepamos que junto con la conexión, también estás dando la posibilidad de acceder incluso a información que tal vez no queramos compartir como anuncio por ejemplo, nuestro crédito restante y toda la información que está disponible en el teléfono ALFA con respecto a nuestro contrato con el operador telefónico.

Qué datos están en riesgo

  • El número de teléfono del que comparte la conexión;
  • El plan de precios;
  • Gastos: total, mensajes, servicios digitales, recargas;
  • Acceso a recargas y ofertas, incluyendo cualquier perfil de paypal. Posibilidad de pedir una recarga con estos datos, editar ofertas, ordenar otras ofertas, cancelar las ofertas telefónicas asociadas con la tarjeta de aquellos que comparten la conexión como si fuera su perfil;
  • El código puk para desbloquear la tarjeta;
  • Acceso limitado a números llamados. Para ver los últimos dígitos, necesita una confirmación a través de un código que llega a través de sms.

Cómo solucionarlo

Actualmente, la única manera de evitar que se produzca el problema es no compartir la conexión. Aunque es cierto que generalmente compartes tu conexión con personas de confianza e introduces una contraseña, también es cierto que no debería, en mi humilde opinión, ser posible ver y editar ofertas y cualquier otra cosa a través de una aplicación que autentica con la dirección IP.

Al descubrir este error

Después de años de no ir de vacaciones, decidí llevar a mi pareja a una isla italiana. Aunque el sitio web de la agencia de bienes raíces dijo que hay wifi para todos los apartamentos, me vi obligado a compartir mi conexión desde mi teléfono móvil porque tiene sin un plan con una cantidad muy limitada de gigabytes. Ambos contamos con el mismo operador telefónico y por ello accedemos a la información relacionada con promociones y créditos a través de la aplicación oficial de este operador. Yo estaba en la otra habitación cuando mi prometida me llamó, agarrando su teléfono móvil en su mano, porque en su solicitud era sesenta euros menos que el crédito que había mostrado el día anterior. Además, me informó que había varios servicios activos que nunca había solicitado. Luego llamamos al número de atención al cliente y un operador muy agradable nos informó que el crédito que estaba en sus monitores era diferente de lo que vimos en la aplicación. Nos dijeron que tal vez podría ser un mal funcionamiento temporal, pero se ve mejor en la aplicación instalada en el teléfono celular de mi compañero, veo mi número de teléfono. En ese momento informé al operador de la cosa y deducimos que la motivación está relacionada con el hecho de que, dado que la autenticación también se lleva a cabo a través de la dirección IP, tenía que haber un problema conceptual en la aplicación. Para verificar que el problema estaba realmente allí y que no era un caso, hicimos varias pruebas. Antes de llamar al servicio de atención al cliente, mi socio quería desactivar los servicios no solicitados que pensaba que habían sido activados arbitrariamente en su tarjeta directamente desde la aplicación. ¿Qué habría pasado si hubiera habido sanciones? ¿Qué pasaría si hubiera activaciones maliciosas o accidentales de servicios de enlace? Al final, nos saludó asegurándose de que abriría un caso al departamento técnico y que nos informaría del resultado. Supongo que una empresa respetable no es demasiado tarde para resolver este problema. Pero mientras tanto, pensé que era una buena idea informarle que compartir su conexión telefónica puede causarle dolores de cabeza.

El propósito de este artículo y a quién podría ser útil

Escribí este artículo para evitar lo que me iba a pasar. El propósito de este artículo es evitar una fuga involuntaria de información confidencial. Para saber si la aplicación de su operador está sujeta a este problema, sólo tiene que probarlo con dos teléfonos inteligentes. Abra la aplicación de su operador en ambos teléfonos móviles después de conectar el segundo teléfono inteligente a la conexión compartida del primero y si verá desde la aplicación del segundo teléfono móvil los datos de la aplicación presentes en el primero entonces significa que La aplicación de su operador también se ve afectada por este problema. En caso de que quieras «salvar» a tus amigos o conocidos de situaciones particularmente embarazosas te recomiendo que compartas este artículo con ellos.


Es posible dejar un comentario como usuario registrado del sitio, accediendo a través de las redes sociales, la cuenta de wordpress o como usuarios anónimos. Si desea dejar un comentario como usuario anónimo, se le notificará por correo electrónico una posible respuesta sólo si introduce su dirección de correo electrónico (opcional). La inclusión de cualquier dato en los campos de comentario es totalmente opcional. Quien decida introducir algún dato acepta el tratamiento de los mismos para las finalidades inherentes al servicio o la respuesta a los comentarios y comunicaciones estrictamente necesarias.


Deja un comentario