El pasado 4 de febrero se hizo público el algoritmo que genera las contraseñas por defecto de los routers Comtrend. Estos son los que ofrecen MoviStar (Telefónica) y Jazztel a sus clientes para dar acceso a Internet. Mucho se ha especulado con el asunto. Hemos investigado sobre la filtración, acudiendo directamente a las fuentes, y queremos compartir algunos aspectos interesantes.
El primero en ponerse en contacto conmigo fue el webmaster de elhacker.net, página «hermana» de seguridadadwireless.net. Me ha contado la versión oficial del portal.
«Seguridadwireless.net descubrió el algoritmo de generación de claves por defecto el 24 de noviembre de 2010 y notificó a través del correo electrónico al fabricante Comtrend el 1 de diciembre de 2010 sin respuesta alguna. Se volvió a contactar el día 8 también sin obtener respuesta. Finalmente el 15 de diciembre de 2010 se publica en seguridadwireless.net el fallo sin desvelar el algoritmo, facilitando sólo una interfaz web para generar la contraseña.»
«Ese mismo día seguridadwireless.com retira todo lo publicado tras recibir una llamada de un responsable de la compañía Comtrend, que -y en esto insisten mucho desde seguridadwireless.net- de una manera totalmente cordial y educada pide retirar la interfaz y una reunión presencial. Pensando en la seguridad final de los usuarios Comtrend y representantes de seguridadwireless se reúnen en Madrid donde se firma un NDA (Non-disclosure agreement) y acuerdan silenciar el descubrimiento hasta contar con una solución»
«A partir de ahí, en diferentes foros, se critica a seguridadwireless por retirar la página, acusándolos de censura y de recibir todo tipo de presiones, incluso económicas. Nada más lejos de la realidad. SeguridadWireless explica que está trabajando de manera conjunta con Comtrend para solucionar el problema y que dada la gravedad del asunto cree que lo más conveniente es no publicar el fallo pese a las críticas. No se dan más explicaciones y varios usuarios disconformes con esta política deciden investigar por su cuenta el fallo con las pistas tomadas de lo publicado en seguridadwireless.»
«Finalmente una fuente anónima publica el viernes 4 de febrero, sin estar todavía solucionado el problema, el código donde se puede ver el patrón con la cadena clave para descubrir la contraseña. Además en un primer momento, llama públicamente desde esa web «hijos de puta» a la comunidad de seguridadwireless. Desde seguridadwireless pensamos que es una irresponsabilidad actuar de esta manera, y no hace más que perjudicar al usuario final. Se acusa injustamente a seguridadwireless de no ayudar en el asunto cuando pensamos que hemos actuado ética y correctamente. Nuestro único fallo ha sido no explicar con claridad todos los detalles del entramado.» Además, añade que «en breve se darán detalles técnicos (si se cree necesario e importante) de cómo exactamente seguridadwireless.net descubrió el fallo».
Una vez conocida esta versión, me he puesto en contacto con Comtrend para contrastar la información, con los que he mantenido una interesante conversación telefónica de la que hablaremos en la siguiente edición.
ssantos@hispasec.com
Más información:
una-al-dia (05/02/2011) Las claves por defecto de los routers de Movistar y Jazztel, al descubierto
http://www.hispasec.com/unaaldia/4487
