Conecta con nosotros

Noticias

¿Qué es Centrex IP, la plataforma de Telefónica con problemas de seguridad?

Publicado el

centrex

Hay fallos y fallos. Los hay pequeños y grandes, inocuos y peligrosos, impredecibles y de perogrullo, inevitables y fácilmente prevenibles… Lo que no es tan común es encontrarse con uno que suscriba las etiquetas grande, peligroso, de perogrullo y fácilmente prevenible, y que sin embargo acabe llegando a la portada de muchos medios online. Y menos todavía que una calamidad de ese tipo se le pueda achacar a una empresa del tamaño de Telefónica. Y sin embargo acaba de pasar, como informaba recientemente El Confidencial, el servicio Centrex IP de la teleco lleva años sufriendo un importante problema de seguridad, y no ha sido hasta que la compañía ha sabido que se iba a hacer público, que ha tomado medidas para resolverlo.

El problema es que, para el acceso al servicio, la compañía generaba contraseñas por defecto, y la seguridad de las mismas era bastante baja, pues no había elementos aleatorios en la misma. Peor aún, se basaba siempre en una combinación de siete dígitos, en los que el primero era siempre el mismo, segundo, tercero y cuarto los tres primeros del código postal de la empresa contratante, y los tres últimos una cadena incremental de cliente a cliente (cliente 1 = 001, cliente 2 = 002, etcétera). ¿Y qué permisos concedía el acceso protegido con esta endeble contraseña? Todos, desde comprobar el estado de las líneas o asignar desvíos, hasta consultar el directorio de teléfonos completo de las compañías contratantes. Sí, efectivamente, desde el último empleado hasta el presidente, consejero delegado, etcétera. Esto se habría podido resolver forzando a los nuevos clientes a cambiar esa contraseña en el primer acceso a la plataforma, peo Telefónica se ha tomado su tiempo (años) para corregir un problema de seguridad de esa magnitud. Seguro que más de una persona ha recordado, al conocer esta historia, los problemas con las claves WEP de los routers del operador… Esto se llama tropezar dos veces con la misma piedra.

Aunque no demasiado conocido, Centrex IP es un servicio de Telefónica que, hasta hace poco, se dirigía casi de manera exclusiva a grandes empresas, y ofrece una alternativa en la nube a las tradicionales centralitas telefónicas. Al funcionar de este modo, evita a las compañías tener que adquirir una física, y además garantiza el contar siempre con la versión más actual del servicio. Además, se trata de un servicio integral, pues unifica voz fija, móvil, y comunicaciones mediante soluciones de software y VoIP e, incluso, funciones de sala virtual para reuniones online. Además, una gran ventaja con respecto a las centralitas tradicionales es que, en este caso no hay límites de escala en lo referido al número y tipo de extensiones, que además se pueden contratar sin compromisos de permanencia, lo que permite ajustar siempre la disponibilidad de líneas y extensiones a las necesidades concretas de cada momento.

Un aspecto importante del servicio, y al que se alude en la noticia de El Confidencial, es que aunque Centrex IP sigue siendo un servicio dirigido a grandes cuentas (en la web de Telefónica se muestra dentro del grupo de servicios para grandes clientes, no para autónomos y empresas), parece que la compañía está estudiando ampliar el rango y dirigirlo a organizaciones de todos los tamaños, un movimiento que tendría mucho sentido, pero que se puede ver bastante afectado tras haberse desvelado este problema de seguridad. Y es que, no nos engañemos, es algo que no debería haber ocurrido en ningún momento, cualquier experto en seguridad se habría tirado de los pelos en una auditoría del sistema. Y, además, lo que indicaba antes, la teleco ya tenía una mala experiencia previa en lo referido a creación de contraseñas basadas en patrones fácilmente predecibles. Lo que nos hace preguntarnos, ¿no hay dos sin tres?

Lo más leído