Vulnerabilidad en los routers HomeHub de BT

Según el grupo de hackers éticos GNUCitizen, existe una falla de seguridad en la puerta de enlace DSL de los enrutadores Home Hub de la compañía británica de telecomunicaciones BT. Los hackers advirtieron en la bitácora de su sitio web que los criminales virtuales podrían aprovechar esta vulnerabilidad para hacer llamadas fraudulentas desde el ordenador de sus víctimas.

Los usuarios vulnerables son los clientes de BT que tienen la versión 6.2.6.B con el servicio de comunicaciones de banda ancha VoIP.

Para llevar a cabo estos ataques, el usuario debe ingresar a un sitio que contenga un JavaScript malicioso. Para ello, basta con que los delincuentes usen sus acostumbradas tácticas de phishing: pueden enviarle un correo al usuario y pedirle que entre a un sitio fraudulento para actualizar sus datos personales. El ataque comienza cuando la víctima pulsa en el enlace.

El teléfono del usuario suena y su puerta de enlace inicia una llamada a otro teléfono desde su ordenador. El usuario piensa que está recibiendo una llamada, pero en realidad su servicio VoIP está llamando a otro número.

Los delincuentes podrían aprovechar esta vulnerabilidad de distintas maneras. Por ejemplo, podrían decirle al usuario que está recibiendo una llamada del banco y convencerlo de que revele sus datos personales. También podrían usar el ordenador de la víctima para llamar a una línea Premium que ellos controlen y así recibir una comisión por cada llamada.

BT dijo que era poco probable que esto llegara a suceder y que, hasta el momento, nadie había denunciado ningún problema semejante. Sin embargo, aseguró que estaba desarrollando un parche para prevenir estos ataques.

La compañía británica también dijo que los hackers habían actuado de una manera irresponsable al haber anunciado el problema en un foro público. Esa es una información delicada que puede atraer la atención de usuarios malintencionados y agravar la situación.