Etiqueta: bots

Los 5 motivos por los que recibes llamadas fantasmas en tu móvil y cómo evitarlo
En cuanto te compras un móvil, y aunque no hayas dado a nadie tu número, empezarás a recibir llamadas de extraños, provenientes tanto de numeración geográfica como de otros móviles, aunque el origen es el mismo: una máquina.
Vamos a ver los motivos por los que puedes recibir llamadas en tu móvil y qué hacer para evitarlo.

Lo primero que hay que entender es que si recibes varias llamadas de uno o varias empresas, generalmente es porque te han metido en una base de datos de marketing.
Hay empresas y personas que se dedican casi exclusivamente a vender bases de datos de formas de contacto: Teléfono+Nombre, Email+Nombre, TeléfonoMóvil+Nombre, Teléfono+Dirección, etc… Generalmente necesitan al menos un par de datos relacionados con el número de teléfono para que la base de datos sea «creíble». Ya que nadie pagaría una cantidad razonable de dinero por una lista de números sin más. Es necesario que junto con el número de teléfono venga un nombre, una dirección, o ambas.

¿Que de dónde sacan estos datos? Seguramente los tengan de la última vez que te apuntastes en un sorteo de un móvil, una consola o un fin de semana en un hotel, o de cuando para comprar algo, te pidieron tus datos en un formulario, o incluso cuando para darte de baja de algún producto o servicio, te volvieron a pedir los datos.
Pues con todos esos datos que piden, hacen una lista de contactos y la venden/ceden a empresas del grupo.
¿Esto es legal? No… pero todo es tan opaco que nadie puede seguirle la pista de quién ha filtrado los datos.
Si te llega spam a tu email, una posible solución es registrarte con tu email seguido de «+servicio@…«, es decir… si mi correo es «email@dominio.com«, y me quiero registrar en un servicio inventado tal que: Ualah, aprovecho una característica de algunos servidores de correo y, en lugar de usar mi cuenta de email, uso la siguiente: email+ualah@dominio.com, de esta manera me siguen llegando todos los correos a «email@dominio.com» pero con el campo «To: email+ualah@dominio.com«. De esta manera sé quién ha filtrado mi email y a quién. Las empresas son inteligentes… antes de enviar emails a veces eliminan el «+TERMINO» para ocultar quién filtró la cuenta, pero generalmente no lo hacen y sabes perfectamente quién lo ha hecho.

1. Máquinas generadoras de llamadas.
En la mayoría de países, llamar es gratis mientras nadie conteste la llamada. Por esta razón, hay mucho listo que crea una base de datos de números aleatorios o secuenciales y se inventan los nombres para poder venderla, aunque sea muy barata.
Para ello, usan un programa que genera números de teléfono y se pone a llamar durante 10 segundos. En función de qué ocurra con esa llamada, pasará una cosa u otra:
- Si descolgamos la llamada: Seguramente el sistema se quede escuchando un rato a la espera de detectar quién ha descolgado. Si es un fax… anotará que es un fax, si es una persona diciendo ¿diga? ¿Hola? ¿si?… entonces anotará que hay una persona detrás y tendrán un positivo.
- Si no contestamos: Volverá a intentarlo en otro momento (puede ser dentro de unos días, una semana, o cuando se le termine la lista y vuelva a empezar.
- Si el número devuelve un tono de congestión (triple-tono o congestion-tone) volverá a probar por si ha ocurrido un error, pero marcará ese número como fallido y que no hay que volver a llamar puesto que detrás de ese número no hay nadie.
Para esto hay técnicas como ya explicamos en este artículo donde hablamos sobre el Zapateller.
2. Marcadores Predictivos.
Otro de los motivos por los que recibimos llamadas puede ser porque ya estemos en una base de datos de marketing y nos llame un «marcador predictivo». Esto es un software que llama automáticamente a un número y cuando descolgamos, contacta con el vendedor que esté libre para hablar. Esto puede ocurrir normalmente, o bien que no haya nadie disponible, en cuyo caso al descolgar no habrá nadie y tendremos una llamada fantasma sin nadie detrás. Según el tipo de «marcador predictivo» suelen mezclar tecnología con el sistema de «generador de llamadas» que he explicado antes, por lo que sólo pasará la llamada después de escuchar alguna voz humana: un «¿si?» -«¿Hola?» o -«¿Dígame?» y si no escuchan nada de eso, considerarán el número no es bueno y no hay nadie detrás.
Por eso, aunque sea de mala educación, descolgar y quedarse en silencio puede ser una buena táctica para evitar que te pasen a un comercial intentando venderte algo.
Se llaman predictivos porque «predicen» cuándo un agente se va a quedar libre para ir llamando al siguiente número de la lista. El resultado generalmente se acerca bastante y quien comercializa con este tipo de marcadores ofrece una predicción bastante buena. Lo cierto es que un par de segundos de desfase es tanto, que hace que la gente cuelgue a no haber nadie y la llamada se pierda.
3. Bots de llamadas buscando vulnerabilidades.
Este caso igual es un poco rebuscado, pero alguna vez ha pasado.
Sólo diré que hay herramientas capaces de rastrear TODO Internet y obtener una lista de direcciones IPv4 de sistemas con alguno de los puertos 2001, 5000, 5060, 1720, 4569, etc. (los puertos habituales de sistemas VoIP) abiertos en menos de 10 minutos. Con esto, un bot rastrea y ataca a cada dirección IP buscando un sistema al que lanzar llamadas y buscar una contraseña vulnerable. Su objetivo suelen ser centralitas PBX vulnerables con cuentas sin seguridad y en puertos estándar o no tanto.
¿Qué ocurre si en lugar de una PBX, encuentran un teléfono IP? Pues que normalmente, la llamada entra y suena. ¿Pero si no tenemos el 5060 mapeado? ¿Cómo es posible? Esto ocurre porque hay routers que cuando tu teléfono hace una llamada saliente, intenta abrir el mismo puerto saliente que el interno, por lo que si el teléfono utiliza el 5060 para sacar una llamada, el router mapeará temporalmente ese mismo puerto exponiéndolo al público y ahí estará accesible para que cualquiera te haga llamadas. ¿Qué pasa entonces si tenemos puesto un desvío de ese teléfono IP a nuestro móvil?
4. Sistemas de limpieza de bases de datos.
Cuando una empresa compra una base de datos de «posibles clientes» de dudosa procedencia, necesita filtrar qué números valen y cual no, para eso pasan la lista de números por un sistema que llama y cuelga comprobando que en ninguno conteste un Fax o devuelva un tono de congestión, a la vez que espera a que descuelgue para hacer una estimación de cuánto tiempo tardas en contestar una llamada y ajustar más los tiempos del marcador predictivo que posteriormente te llamará. Estas llamadas no hacen nada, tan solo esperan que alguien conteste y hable para colgar. Si descuelgas y no dices nada podría esperar varios segundos antes de colgar y marcarlo como «número a revisar».
5. Llamadas válidas.
Ahora con el COVID, son muchos los centros de salud que llaman a sus usuarios para notificarles que deben pasar a vacunarse. Estas llamadas generalmente suelen ser locales, por lo que veríamos una llamada de un número de nuestra ciudad, pero en otras ocasiones estos números están centralizados en algún callcenter de nuestra región, por lo que puede parecer algo más sospechoso.
Cuando compramos algo (en Amazon por ejemplo) y damos nuestros datos para que se pongan en contacto en caso de haber algún problema con la entrega, quien tiene los datos es la empresa a la que le hemos dado los datos, el resto de empresas de mensajería utilizan los sistemas de ésta para llamarnos y por esa razón un mensajero que está en nuestra puerta puede llamarnos utilizando un número de Irlanda, ReinoUnido o de otro país diferente.
Empresas de encuestas estatales o autonómicas que hacen uso de la información propiedad del estado para generar listas de candidatos de encuestas y llamar aleatoriamente a personas en función de su localidad, edad, y demás datos que sirvan para hacer una muestra representativa y válida.

Cómo evitar llamadas de publicidad
Parece que el año que viene se convertirá en el año en el que se luche contra esta práctica de llamar a números aleatorios en busca de ventas, y es que tanto Europa como Estados Unidos han empezado a elaborar una serie de leyes y técnicas para impedir o multar aquellas llamadas hechas por sistemas automáticos ya sea para conseguir ventas o bien para conseguir «datos» de formas poco éticas.
Aparte de esto Google y Apple se han empezado a poner serios también y han empezado a elaborar sus propias listas negras de números de teléfono basadas en la opinión de los usuarios. Cuando un usuario de Android reciba una llamada no deseada de publicidad, bastará con marcarla como «PUBLICIDAD» y automáticamente eso formará parte de una lista de números que impedirá que suenen en otros teléfonos, cortándole las alas a muchos callcenters que llaman a teléfonos de personas de las que no tienen un permiso expreso para llamar a corto plazo.
Las empresas tardan menos de un día en cambiar de número de teléfono, por lo que realmente no servirá de mucho salvo que pongamos denuncias legales y válidas.
Tanto el método de «desist and decease» de Europa y EEUU a base de denuncias y multas como el de los creadores de sistemas operativos móviles, conseguirán que sólo recibamos llamadas si realmente queremos recibirlas.
Fotografía: FreePIK – Foto de Gafas creado por wayhomestudio – www.freepik.es
2021-09-11
Los bots empiezan a atacar a Asterisk
Internet es una jungla, hay quien quiere poner puertas en medio y quien pone alambradas, pero está claro que por muchos firewalls, antivirus, protecciones y leyes se instalen, siempre hay alguien que consigue meter un troyano, un virus, o algún resquicio legal para que tu estancia en Internet no sea tan placentera como esperabas. Si montas un blog, hay cientos de exploits sobre el software que utilizas como servidor web, otros cientos de exploits para la plataforma que utilizas, decenas de exploits para cada uno de los plugins que has instalado y por si fuera poco, además el servidor incluye otros servicios que también son vulnerables y siempre hay alguien intentando explotarla.
Si pones un servidor VoIP accesible desde el exterior (por la razón que sea) siempre hay quien intenta aprovecharla, no en vano existen bots especializados en atacar sistemas VoIP que buscan puertos SIP (en el 5060 o donde sea), probar cientos de miles de combinaciones de usuarios/contraseñas y en el caso de que exista alguna cuenta desprotegida con una contraseña sencilla o incluso sin contraseña, empieza un ataque mediante llamadas SIP a números internacionales que pondrán a prueba, no solo el rendimiento del sistema de comunicaciones, si no nuestra capacidad y velocidad para darnos cuenta de que estamos siendo atacados y están haciendo llamadas a través de nuestra infraestructura.
Siempre he dicho que cada fabricante echará la culpa a los productos de la competencia, pero está claro que independientemente de qué software o hardware utilicemos, si ponemos usuarios y contraseñas estándar, vamos a ser atacados tarde o temprano ocasionándonos un gran dolor de cabeza (en el mejor de los casos). Por esta razón, aunque soy de los que defienden que cada protocolo debería funcionar en su puerto (SIP en el 5060), si es cierto que hay que prestar atención a que cada usuario tenga su contraseña bien difícil de adivinar y que no debemos llevarnos las manos a la cabeza ni preocuparnos cuando veamos que un bot intenta registrarse. Cambiar de puerto solo evita ser encontrado de buenas a primeras, pero los bots hacen escaneo de puertos, por lo que el puerto SIP seguirá siendo encontrado tanto si está en el 5060 como si está en el 65535.
Resulta que los bots no solo atacan al puerto SIP, si no también buscan sistemas vulnerables y para ello hacen también varias pruebas:
- Comprueban si el servidor SIP tiene un servicio WEB.
- Comprueban si el servidor WEB tiene ciertas aplicaciones instaladas.
- Comprueban si las aplicaciones instaladas tienen una versión vulnerable.
- En caso afirmativo, usan un exploit para, o bien hacer llamadas desde la aplicación, o bien para abrir una puerta con un usuario nuevo y poder hacer llamadas desde ahí.
Los ataques son cada vez más sofisticados, y por suerte, si estamos medianamente al día en cuanto a las versiones, la probabilidad de que la aprovechen es mínima, pero siempre hay algún exploit más nuevo que no hemos visto, siempre instalamos más aplicaciones de las que deberíamos (y luego no las borramos) y por esta razón los «sipbots» encuentran huecos donde conseguir un suculento bocado.
Visualizador de ataques en tiempo real http://community.sicherheitstacho.eu/start/main
Una versión de Elastix antigua, un A2Billing antiguo, un PHPMyAdmin, un WordPress, un … cualquier aplicación es susceptible de ser vulnerable y abrir la puerta en un momento dado a un ataque. En Alemania, el vicepresidente de seguridad de Deutsche Telekom avisaba del aumento de ataques al puerto 5038 (puerto generalmente utilizado por el servicio AMI -Manager- de Asterisk) y es que es un servicio que puede ser explotable por fuerza bruta similar al que tendríamos abriendo un puerto Telnet a nuestro servidor. Por supuesto es importantísimo no disponer de cuentas «de pruebas», pero lo que los bots buscan son cuentas «comunes» utilizadas por aplicaciones conocidas, aquellas que para que funcionen, por defecto son «stats» y «statspass» o «a2billing» y «changethepass«, o similares. (you know what I mean)
We see a lot of #cyber #attack traffic on Port 5038/tcp, this is a config port of Asterisk PBX. Somebody is trying to bruteforce the confic of VoIP PBX systems. #TelekomSecurity https://t.co/wNe8QTb1eI
— Thomas Tschersich (@Ttschersich) February 26, 2018
Siempre he defendido que no hay que ser un paranoico de la seguridad, eso solo nos lleva a consumir un tiempo precioso en vigilar cuando deberíamos invertirlo en avanzar y mejorar, pero también es cierto que hay que ser conscientes en que la seguridad debe venir de la mano de una serie de hábitos básicos como desinstalar una aplicación si no la vamos a utilizar, siempre contraseñas fuertes y mucho cuidado con «las pruebas» que luego se olvidan que están ahí.
2018-03-07