Durante 13 años, una aplicación de Antel llamada Encuentra estuvo disponible con una vulnerabilidad que permitía acceder a la ubicación en tiempo real de los celulares de cada cliente de la compañía. La denuncia de un hacker uruguayo permitió que el servicio fuera dado de baja, pero no fue hasta que lo informó en redes sociales que la empresa estatal corrigió el error.
Según cuenta en su blog Santiago Hernández, una investigación hecha luego de ver una denuncia de una persona que perdió su celular lo llevó a Encuentra, una aplicación de Antel que estaba funcionando desde 2008 y tenía como finalidad encontrar el celular mediante la triangulación de señal, es decir, uniendo los datos del dispositivo con la localización y trayectoria de las antenas.
Para acceder, el servicio solicitaba el número de teléfono y una contraseña autogenerada de seis dígitos numéricos. Buscar el celular con los datos propios es un servicio útil, pero Hernández descubrió que también se podía acceder a los datos de otra persona.
¿Por qué? Uno de los problemas de seguridad del servicio es que no hay un límite de intentos. Por lo tanto, se puede probar todas las combinaciones de números del 000000 al 999999 hasta hallar la correcta.
Lo que hizo Hernández fue combinar dos programas desarrollados por PortSwigger, una compañía especializada en seguridad web. Uno de ellos es BurpSuite, que hace un escaneo automático de la seguridad del sitio, y el otro es TurboIntruder, una extensión de BurpSuite que realiza un ataque de forma acelerada, con el objetivo de probar automáticamente todas las combinaciones posibles para encontrar la contraseña.
Hernández detalló en su blog que le costó sólo 15 minutos obtener la contraseña de un teléfono que no es suyo para poder acceder a Encuentra y hallar su ubicación exacta. “Ahora sólo queda por preguntarse si en todo este tiempo fui la primera persona en encontrar esto o hay alguien más que lo sabe. Alguien que quizás ha estado desde 2008 buscando a cualquiera, analizando nuestros movimientos y vendiendo nuestra información a terceros”, se preguntó.
Caída en saco roto
La publicación en su blog en la plataforma Medium fue el 23 de abril. Sin embargo, al ser entrevistado el lunes por el programa Las cosas en su sitio, de la radio Sarandí, Hernández indicó que había descubierto la vulnerabilidad de Encuentra el 21.
¿Qué pasó durante esos días? Intentó informarle a Antel sobre el problema, sin éxito. “Me atendió una persona que me dijo que no me podía ayudar y que mandara un mail. No me contestaron y opté por hacerlo público”, explicó.
El mismo 23 de abril, publicó en su cuenta en Twitter las capturas del mail y la llamada que había enviado al Centro de Respuesta a Incidentes de la empresa estatal. “Este no es el proceso que esperamos ante estos incidentes”, comentó en la red social.
El final
Finalmente, pocas horas después de que Hernández hiciera pública la vulnerabilidad en Encuentra, Antel emitió un comunicado en el que informaba que reconocía que “se constató una vulnerabilidad en el acceso vía web a partir del conocimiento de un ingreso irregular al sistema a través del uso de credenciales de identidad de usuario”.
La empresa resolvió “que se diera de baja temporalmente el acceso vía web al servicio, mientras se revisa y fortalece la seguridad del mismo, manteniéndose operativo a través de SMS”, al tiempo que se ordenó una auditoría del sistema y de los equipos técnicos de ciberseguridad.
En declaraciones a Sarandí, Hernández contó que había hecho otras denuncias sobre vulnerabilidades en diferentes servicios del Estado y que “es habitual mandar un mail y que nadie responda”, aunque horas después de su comunicación volviera a chequear y constatar que esas vulnerabilidades ya no estaban.
Hackeos y vulneraciones
En diciembre de 2020, un hacker accedió al sistema de la Dirección Nacional de Identificación Civil (DNIC). Si bien tras la divulgación de esta noticia en febrero el Ministerio del Interior informó que “no se detectaron pérdidas de información”, Hernández dijo a Sarandí que los números de cédulas, teléfonos y direcciones circulan en “lugares oscuros”.
Tiempo después del ataque a la DNIC, en enero de 2021, se produjo un ciberataque que afectó a 50 cuentas de correo electrónico de la Armada. Los archivos obtenidos en este ataque se pusieron a la venta en el foro ruso XSS a cambio de 500.000 dólares.