Entel, mejor vivir desconectado o graves fallas de seguridad

Desde hace ya unos meses que soy cliente de la compañía telefónica Entel. Jamás había ingresado al sitio web como cliente para registrarme y cosas por el estilo. Cuando lo hice, debo decir que mi sorpresa fue tal, que ya no sé si reír o llorar; me da vergüenza tener un teléfono y un número activo asociado a esta compañía, porque sus niveles de seguridad son desastrosos. Ya estoy buscando otra compañía, recomiendo cambiarse.

30 segundos bastan para ver tus llamadas o quién te ha llamado

Lo primero y de sorpresa profunda es el hecho de que la aplicación web permite ingresar a la cuenta de cualquier usuario si tienes a mano su teléfono, ya que no tienen ningún filtro o sistema de verificación en 2 pasos, por lo que ojo, tengan cuidado, esta crítica falta de seguridad es mina de oro para detectives privados y crackers sin escrúpulos, los cuales con tan sólo tener 30 segundos el teléfono de una persona en su poder, podrán acceder a toda la información de llamadas emitidas y recibidas, SMS, y otros. ¡Ahora ya lo sabes, si eres cliente Entel, duerme con el teléfono!

Acceso a Tráfico de llamadas en 30 segundos
Acceso a Tráfico de llamadas en 30 segundos

Certificado SSL con tecnología basura & Ataques Poodle

 Luego de esta sensación de inseguridad con el acceso en 30 segundos, advertí que el navegador web arrojaba alerta con el certificado SSL (HTTPS), y la pregunta fue: ¿hay archivos en la aplicación de usuario que en su ruta no tienen el llamado a un SSL? Usualmente se da este error en los sitios web.

Certificado SSL de Entel con Alerta de Seguridad
Certificado SSL de Entel con Alerta de Seguridad

Para salir de la duda realicé lo que todo cristiano haría: revisar la alerta del navegador y luego hacer una consulta pública de la conexión SSL, lo cual me dejó atónito.

Certificado SSL con algoritmo SHA1 y vulnerable a ataques Poodle
Certificado SSL con algoritmo SHA1 y vulnerable a ataques Poodle

Tal como pueden ver, Entel está exponiendo a miles o millones de clientes al utilizar el algoritmo SHA-1 en sus firmas de certificado SSL. Por otro lado, cuando realicé la consulta pública del certificado SSL de Entel en mi cuenta de usuario, pasamos de SHA-1 a algo mucho más peligroso: el servidor soporta conexión por medio del protocolo SSLv3, es decir, ¡es posible realizar ataques Poodle! Acá es posible ver cómo el handshake de SSLv3 se realiza, trágicamente, sin problema alguno:

Handshake SSLV3 satisfactorio para ataques informáticos Poodle
Handshake SSLV3 satisfactorio para ataques informáticos Poodle

Dos fuentes oficiales, OpenSSL y Google, han alertado desde octubre de 2014 que el protocolo SSLv3 está obsoleto y es vulnerable a ataques informáticos. ¿Cómo es posible que Entel no sepa esto?

La documentación oficial:

  • https://www.openssl.org/~bodo/ssl-poodle.pdf
  • https://www.openssl.org/news/secadv_20141015.txt
  • http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html

Vale, pero, ¿qué es posible hacer con este tipo de ataques? Sin ambages, se pueden realizar ataques del tipo man-in-the-middle para robar, reutilizar y/o descifrar la información de, por ejemplo, las cookies del navegador, y luego ingresar a todas las cuentas de usuario que hayas utilizado: tus emails, tu cuenta del banco, Facebook, y todo lo que puedas imaginar.

Problemas graves más allá

Lo peor de este asunto es que no es algo particular, es global, ya que el servidor completo de Entel es vulnerable a ataques Poodle. Aća podemos ver handshakes satisfactorios en otras aplicaciones de usuario:

Servidor vulnerable a ataques Poodle
Servidor vulnerable a ataques Poodle
Servidor vulnerable a ataques Poodle
Servidor vulnerable a ataques Poodle

Aplicaciones web basura y desprotegidas

Después de todo esto, no es raro ver que tengan aplicaciones web basura que no sirven de nada, y a las cuales es posible ingresar con el RUN y contraseña de la misma cuenta de usuario Entel:

Aplicaciones web basura y desprotegidas
Aplicaciones web basura y desprotegidas
Aplicaciones web basura y desprotegidas
Aplicaciones web basura y desprotegidas

Filtración de datos de clientes y generación arbitraria de envío de contraseñas

Además de todo esto, Entel está filtrando los datos de los clientes y esto permite generar una solicitud arbitraria de contraseñas; la filtración se produce por el alojamiento dinámico de los datos de los clientes después de que éstos utilizan aplicaciones como esta:

Filtración de datos y envío arbitrario de contraseñas
Filtración de datos y envío arbitrario de contraseñas
Filtración de datos y envío arbitrario de contraseñas
Filtración de datos y envío arbitrario de contraseñas

Inyección de HTML, Cookie Stealing & Ataques de Ingeniería Social

Como guinda de la torta, hay aplicaciones web que permiten inyectar rutinas en HTML y lenguajes de programación como JavaScript, para inyectar rutinas payload y así realizar ataques de robo de cookies e ingeniería social, para robar más contraseñas aún:

Inyección de html, JavaScript y Ataques de Ingenieria Social & Cookie Stealing
Inyección de html, JavaScript y Ataques de Ingeniería Social & Cookie Stealing

Es importante destacar que, como aún soy cliente de Entel, he decidido comunicarme directamente con ellos a través del SERNAC, ya que obviamente no me siento seguro como cliente.

Esperemos que los señores de Entel corrijan estas y todas las otras fallas que tienen, porque de otra manera seguirán vulnerando los derechos del consumidor.

Para terminar podemos ver el historial poco feliz de seguridad web de Entel, lo cual reforzará más aún la incertidumbre a todos los clientes de Entel como yo:

  • http://www.zone-h.org/mirror/id/22375688
  • http://www.zone-h.org/mirror/id/22375689
  • http://www.zone-h.org/mirror/id/22375692
  • http://www.zone-h.org/mirror/id/22375691
  • http://www.zone-h.org/mirror/id/22375687
  • http://www.zone-h.org/mirror/id/22377488
  • http://www.zone-h.org/mirror/id/22374187
  • http://www.zone-h.org/mirror/id/22377511
  • http://www.zone-h.org/mirror/id/22377487
  • http://www.zone-h.org/mirror/id/22377753
  • http://www.zone-h.org/mirror/id/22332760