InfoSecMan Blog

Hace un tiempo, en uno de los cursos a los que asistí, el formador (estadounidense) me comentaba lo sencillo que era aún hoy en día suplantar la identidad telefónica, el identificador de llamada, en una llamada telefónica.

La posibilidad de realizar esto es especialmente interesante para realizar ataques de ingeniería social llamando por ejemplo a una compañía de forma que al receptor de la llamada le aparezca en su “display” como origen de la llamada, otro número interno o bien conocido de la misma compañía, evitando así sospechas y haciendo mucho más fácil la labor de recolección de información.

Es obvio que la credebilidad de una llamada haciéndose pasar por alguien de nuestra compañía, o incluso de nuestro entorno, crece mucho si el origen de la llamada es aparentemente para nosotros un número conocido, interno o familiar.

Ahondando en el tema, me comentaba que por lo visto, el identificador de llamada (Caller-ID) habitualmente no lo establece la central del operador sino que de forma habitual se “delega” en el equipo de cliente (el teléfono o centralita, en su caso) y una vez más, por “sencillez” en la configuración, falta de previsión o de tiempo, los operadores (al menos en EE.UU.) no suelen hacer ninguna validación del “Caller-ID” enviado, lo que maliciosamente, podría permitir que yo, al realizar una llamada a una víctima objetivo, enviase como “Caller-ID” por ejemplo el número 091 (o 911 allí) haciendo parecer que la llamada proviene de la policía (esto podría hacerse haciendo que el dispositivo cliente, centralita o similar enviase un valor arbitrario dentro de ese campo).

Tras aquella charla, quedó anotada en mi lista de tareas pendientes (enorrrme, por otra parte) investigar cuál es el estado de esta posible vulnerabilidad en los sistemas telefónicos en España (siendo sincero, aún no he podido hacerlo).

Todo había quedado ahí hasta que esta mañana he leído un comentario que me hace confirmar que, al menos en Estados Unidos, esta posibilidad sigue existiendo y de hecho se utiliza. No sólo se utiliza, sino que existen empresas como Telespoof, que se dedican a ello y a hacer más fácil aún esto (su mercado objetivo son gente como investigadores privados, ingenieros sociales… y fisgones 😉 ).

Pero vienen malos tiempos para este tipo de empresas y para aquellos que querramos utilizar esta “argucia” para obtener información o probar la inseguridad de nuestras compañías, y es que por lo visto el Congreso de Estados Unidos  va a declarar ilegal precisamente esa acción: la manipulación de la información contenida en el “Caller-id”.

¿Alguno de vosotros sabe cómo está este tema, tanto técnica como legalmente, en España o LatinoAmérica?

Podéis acceder a la propuesta en la librería del Congreso aquí,  y a un comentario muy interesante sobre sus efectos para la ingeniería social aquí.

… la próxima vez que alguien os llame solicitando alguna información, no confiéis sólo en ello por identificar el número de origen… ya sabéis lo que puede estar ocurriendo… 😉