Cómo hackear cuentas online a partir del buzón de voz

El buzón de voz parece algo anticuado, pasado de moda, y que ya nadie utiliza. Pero que eso no te engañe, muchos usuarios (por no decir casi todos), aún tienen este servicio activado. Esto puede significar un potencial peligro para tus cuentas online, pero ¿Cómo? Te lo mostramos a continuación. 

El Security Researcher Martin Vigo, demostró en su reciente charla de DEF CON 26 ”Compromising online accounts by cracking voicemail systems”, que el buzón de voz puede ser una gran herramienta para los hackers (o intrusos) que quieran obtener acceso a tus cuentas online.

La cosa es más o menos así: Gran parte de las compañías de teléfono permite el acceso a tu buzón de voz desde un número externo al tuyo, requiriendo únicamente un código de protección. El problema es que esos códigos por lo general son muy inseguros ¿Cómo así? Por lo general, y cómo ya ”nadie” utiliza este servicio, los códigos de acceso quedan por defecto, y dependiendo de la empresa operadora, puede variar entre los últimos dígitos de tu número, o 1111, o 1234, pero nada más complicado que eso.

Y aunque el usuario cambie la contraseña, probablemente escoja una fácil de recordar, por lo general que siga un parámetro en el teclado del teléfono (filas verticales, horizontales o diagonales). Se ha determinado que hay combinaciones que son más utilizadas que otras, como: 1234, 9876, 2580, y los códigos que empiezan con 19 también son muy comunes.

En el siguiente video ,Vigo nos da una muestra de cómo hacer este proceso con fuerza bruta (no es necesario hacerlo manual) llamando al buzón de voz y probando combinaciones:

Y una cuenta de Whatsapp, o de Paypal ¿Se pueden hackear con esta fórmula?

¿Recuerdas que cuando restauras una contraseña en algún servicio online, muchas veces te solicitan un número de teléfono para llamarte y enviarte un código de verificación?

Para el atacante será tan fácil como seguir el paso anterior, es decir, conseguir el buzón de voz, conocer a la víctima y sus horarios (pongámosle un poco de ingeniería social), y esperar a que la persona tenga el celular apagado, sin cobertura o en modo avión. Cumplido eso, solo bastará con restaurar la contraseña en la plataforma online y escoger la opción ”quiero que me llamen y envíen el código verificador”.

El speaker hizo la demostración con una cuenta de whatsapp:

¿Y Paypal?

Ahora bien, algunas plataformas utilizan un proceso de verificación un tanto distinto, ya que el servicio vuelve a marcar el número y solicita al usuario que introduzca los números que aparecen en la página de restauración de contraseñas como verificación. Pero esto se puede evitar con un pequeño hack, que consiste en configurar el mensaje del contestador con una grabación de los tonos del teclado que corresponden a los dígitos del código de restauración.

Estos ejemplos que da Martin Vigo nos ayudan a mantener nuestros sentidos alertas y entender que cualquier sistema puede ser vulnerable si se es un poco ”intruso y creativo”. Y que una herramienta anticuada y olvidada, como el buzón de voz, puede significarnos el robo de nuestros datos en la época actual.