El día 28 de abril de 2025 a las 12:33 horas CEST se produjo un apagón eléctrico total en la red española, también conocido por «cero» eléctrico o «blackout«. Se trató de un fenómeno totalmente excepcional, nunca ocurrido en los tiempo recientes de España. Este apagón provocó al menos cinco muertes confirmadas, afectó gravemente al transporte ferroviario, con 116 trenes detenidos y 35.000 pasajeros afectados, además de causar interrupciones en servicios básicos, centros educativos y comercios. El sistema ferroviario tardó casi dos días en recuperarse, y muchas zonas quedaron sin comunicación de ningún tipo ni electricidad durante mas de 12 horas.
En este artículo vamos a realizar un análisis forense inicial de lo ocurrido. Es decir, vamos a desgranar en forma de timeline los distintos sucesos que fueron aconteciendo en los momentos previos al fatal desenlace. La diferencia entre un análisis inicial de hechos y un análisis final de causas, es que mientras el primero es una exposición de hechos objetivos que han ocurrido, el segundo tipo de análisis entra a valorar las causas que produjeron esos hechos. Como decía, este será un análisis inicial, ya que no se dispone de la información suficiente como para poder establecer una causa de forma objetiva (al menos yo). Otro de los objetivos de este artículo, es refundir en un solo post, todas las publicaciones que he estado realizado en mis cuenta de X.com y Linkedin.com desde las 16:00 horas del día del propio apagón, momento en el que ya había detectado que el principal desencadenante de lo ocurrido fue la desestabilización de la frecuencia de la red eléctrica.
Tuit sobre el apagón a las 16:00 horas
Existen distintas HIPÓTESIS de trabajo que se están analizando, las cuales, hasta tener una información mas detallada de lo ocurrido, no se pueden considerar probadas, las principales hipótesis NO CONFIRMADAS que se están barajando son:
Alta penetración de energías no síncronas (fotovoltaica y eólica) en un momento de baja inercia del sistema. Al mismo tiempo que existía un exceso de generación renovable frente a una demanda baja.
Desconexión de las lineas de exportación de energía eléctrica hacía Portugal y Francia, que provocó una sobretensión de red y desconexión automática por cascada de todas las estaciones de generación eléctrica de España.
Ciberataque a la infraestructura de control o comunicaciones del sistema eléctrico que provocó una desestabilización de la red. Esta es la opción menos probable de todas, pero como de momento no se ha podido descartar todavía, la hay que citar.
Es importante entender, que cuando se realiza un análisis forense, una hipótesis, por alocada que sea, no se puede confirmar o desestimar hasta que no existan pruebas que demuestren una cosa u la otra, por lo tanto, ante la falta de información sobre el suceso, no es el momento de confirmar o desechar ninguna hipótesis. Por ejemplo, el día del apagón se habló que este había sido provocado por un fenómeno atmosférico inusual que provocó oscilaciones en las líneas eléctricas de alta tensión, esta idea tuvo la consideración de hipótesis, y la Agencia Española de Meteorología la descartó al certificar que ese día no existió ningún fenómeno atmosférico inusual.
Tuit AEMT sobre la hipótesis del fenómeno atmosférico
Este es el camino que hay que seguir con todas las hipótesis que puedan ser plausibles: realizar un análisis sobre la misma para determinar su realidad o no. Otra cosa, son hipótesis no plausibles (al menos para mi), como que los extraterrestres vinieron con sus naves espaciales y absorbieron la electricidad de los cables de la red eléctrica española para poder tener energía y regresar a su planeta.
Foto de una nave extraterreste pillados robándonos la electricidad
Antes de comenzar con el análisis cronológico de lo ocurrido, decir que me voy a centrar solamente en el día 28 de abril, pero los días 16 y 17 de abril de ese mismo año, ya se detectaron sobretensiones importantes en distintos puntos de la red final o distribución española, lo que al no poder confirmar que tenga relación con lo ocurrido el día 28, no lo analizaré en este artículo.
Comencemos por el principio, un gestor de arranque, también conocido como bootloader en inglés, es un programa esencial que se encarga de poner en marcha el sistema operativo cada vez que el ordenador se enciende o se reinicia. Su función principal es cargar el núcleo del sistema operativo en la memoria RAM y, una vez hecho esto, transferirle el control para que continúe con el proceso de inicio del sistema.
Linux es un sistema operativo sumamente flexible y capaz de ejecutarse en una amplia variedad de arquitecturas de hardware. Sin embargo, no en todas las arquitecturas donde puede ejecutarse Linux es estrictamente necesario un gestor de arranque. Su presencia depende en gran medida de la estructura del sistema y del contexto en el que se use el sistema operativo.
En el caso de Windows, el gestor de arranque juega un papel fundamental en el proceso de inicio del sistema. Windows utiliza un bootloader llamado Windows Boot Manager (BOOTMGR), que se encarga de localizar y cargar el núcleo del sistema operativo desde el disco duro a la memoria RAM. Este gestor de arranque trabaja en conjunto con el BCD (Boot Configuration Data), una base de datos que almacena la información de configuración del arranque. A diferencia de Linux, donde se pueden emplear distintos bootloaders según la distribución y el hardware, Windows está diseñado para operar con su propio gestor de arranque, optimizado para su ecosistema y asegurando compatibilidad con su arquitectura cerrada.
Fig. Windows Boot Manager
En el caso de macOS, el gestor de arranque es boot.efi, que forma parte del firmware EFI (Extensible Firmware Interface) utilizado en los Mac modernos. Cuando se enciende el equipo, el firmware EFI detecta el hardware y busca el sistema operativo en el disco de arranque. Luego, boot.efi se encarga de cargar el núcleo de macOS en la memoria RAM y transferirle el control para completar el proceso de inicio. A diferencia de Windows y Linux, macOS está diseñado para funcionar exclusivamente en hardware de Apple, lo que permite una integración más controlada entre el software y el hardware, asegurando estabilidad y optimización en el arranque del sistema.
Volviendo a Linux, en arquitecturas de procesador como x86 y x86_64, desarrolladas por Intel y AMD, es común que se requiera un gestor de arranque para iniciar el kernel de Linux. Entre los gestores más utilizados en estos entornos se encuentran GRUB o LILO. No obstante, en arquitecturas como ARM y ARM64, que están diseñadas para ofrecer un alto rendimiento con un consumo energético reducido, no siempre es indispensable un gestor de arranque tradicional. En estos casos, el firmware o un bootloader integrado en el hardware, como U-Boot en sistemas embebidos, puede encargarse directamente de la carga del kernel. Algo similar ocurre con la arquitectura PowerPC en algunos sistemas embebidos, donde el firmware gestiona la carga del kernel debido a que la configuración del hardware es generalmente fija, eliminando la necesidad de un gestor de arranque avanzado.
Fig. LiLO
Dentro de los gestores de arranque más populares se encuentra GRUB (Grand Unified Bootloader), que es ampliamente utilizado en sistemas Linux. GRUB permite, además, la coexistencia de varios sistemas operativos en una misma máquina, como Linux y Windows, facilitando que el usuario pueda elegir qué sistema iniciar en cada arranque. No obstante, con el auge de la virtualización, donde un sistema operativo puede ejecutar otro dentro de sí mismo sin restricciones significativas, la utilidad de los gestores de arranque para sistemas dual-boot ha disminuido. Ya no es imprescindible elegir entre un sistema u otro al encender el equipo, pues ambos pueden ejecutarse simultáneamente y estar disponibles para el usuario en todo momento.
El origen de los gestores de arranque en Linux se remonta a LILO (Linux Loader), un gestor que en la actualidad ha quedado prácticamente obsoleto. Posteriormente, apareció GRUB Legacy, el cual tenía la limitación de ser compatible únicamente con particiones MBR y no podía ser utilizado en sistemas con UEFI, aquí es dónde está el “kit” de la cuestión.
Los esquemas de partición juegan un papel crucial en la organización de los datos en un disco duro, y los dos más comunes son MBR (Master Boot Record) y GPT (GUID Partition Table). MBR es un esquema más antiguo con restricciones significativas, como el soporte máximo para discos de 2 TB y la posibilidad de crear únicamente cuatro particiones primarias. Por otro lado, GPT es una alternativa más moderna que permite trabajar con discos de mayor tamaño y admite un mayor número de particiones.
En el año 2017 viajé a Moscú, Rusia, para dar una conferencia titulada: “CCAM – Card Sharing TakeDown”, esta charla trataba sobre el mundo de la piratería de televisión de pago mediante los protocolos: CCCAM, IKS e IPTV. La primera diapositiva que utilicé en esta charla fue un fotograma de la segunda temporada de Los Simpsons, mas concretamente el capítulo titulado: “Homer contra Lisa y el Octavo Mandamiento”, en el que Homer se conecta a la televisión por cable de forma ilegal para ver un combate de boxeo que solamente se retrasmite en un canal de pago. Este capitulo se emitió en el año 1991, lo que nos indica que esto de la piratería de contenidos deportivos televisados ya viene de muy atrás.
Fig. Homer instalando televisión por cable pirata.
En España la piratería del futbol comenzó mas o menos por esa fecha, por aquellos tiempos en los domicilios de las familias y bares no existía una conexión a Internet que pudiera soportar el caudal de una retrasmisión televisiva en directo, por eso, la señal legal llegaba a los domicilios mediante satélite. En España el satélite que daba y sigue dando, cobertura de televisión de pago es el ASTRA 19.2E. Este satélite envía a tierra la señal de cientos de canales de televisión, la mayor parte de ellos de pago. Esta señal es recibida por el LNB de una antena parabólica y enviada a un dispositivo decodificador conectado a la televisión. Como esta señal se retrasmite de forma cifrada, si no se disponen de las claves de descifrado la televisión no podrá mostrar ningún tipo de contenido de video. Estas claves se suministran de forma legal a cada consumidor mediante unas tarjetas NAGRA-VISIÓN que llevan en su interior la semilla generadora de claves de descifrado, por lo tanto, son capaces de “desbloquear” los canales de pago y mostrar su contenido. Para hacer esta operación no se necesita ningún tipo de conexión a internet, ya que la propia tarjeta NAGRA es autosuficiente para la generación de estas claves.
Fig. Tarjeta NAGRA-VISIÓN
Aquí es donde entra en juego la piratería, las personas que no quería pagar la cuota de la suscripción a la televisión de pago, utilizaban tarjetas “trucadas” obtenidas de forma ilegal, estas tarjetas eran capaces de emular las claves generadas por las tarjetas NAGRA legales y por lo tanto mostrar el contenido televisión sin contratar ningún servicio con el proveedor oficial. Normalmente estas tarjetas piratas las había que comprar, pero a un precio bastante inferior a la suscripción legal de NAGRA y el operador correspondiente.
Fig. Base de tarjetas pirata.
Aproximadamente, por los años 2000, los proveedores que habían comprado los derechos de emisión del futbol en España, que mueve casi tanto dinero como el boxeo en Estados Unidos. Comenzaron a ver que parte de sus potenciales clientes no les contrataban el servicio, ya que preferían comprar las tarjetas piratas y ver el futbol en sus casas a un precio mucho mas reducido. Fue en ese momento, cuando comenzaron a implementar las primeras medidas técnicas para evitar la piratería. Esta medida fue el barrido de tarjetas pirata en momentos álgidos de las competiciones deportivas, el típico Real Madrid – Barça, en el que instantes antes de comenzar el partido, los servicios de antipiratería de Vía Digital lograban bloquear un gran número de tarjetas pirata y por lo tanto dejar al pirateadores sin servicio en el peor momento de todos.
Este sistema de lucha contra la piratería se mantuvo durante bastantes años, hasta que poco a poco, los domicilios españoles y bares, comenzaron a disponer de conexiones a internet mediante ADSL con una velocidad y latencia de conexión suficiente para poder trasladar la piratería a la red. En este momento comienza a crecer la difusión mediante CCCAM. Esto no es otra cosa, que un protocolo de Internet, en el que un decodificar pirateado, es capaz de solicitar las claves de desbloqueado de la señal de televisión a un servidor de internet en vez de a una tarjeta física que estaba introducida en su interior.
El protocolo CCCAM, se basaba y basa, ya que sigue operando actualmente, en una serie de líneas C, cada línea incluye la dirección IP del servidor remoto de Card Sharing, un puerto de conexión y un usuario y contraseña. Ya que normalmente, estas líneas C son de pago. Es decir, el cliente tendrá que pagar una cantidad de dinero a un vendedor para que le facilite 5 o 6 líneas C. Normalmente no tiene sentido activar mas de 6 líneas ya que el decodificador posiblemente nunca llegue a utilizarlas todas.
Fig. Panel CCCam
Esto significa, que un usuario doméstico, se tendrá que conectar a un servidor remoto para poder obtener las claves del servidor CCCAM que ha contratado, normalmente por unos meses. Y para conectarse a este servidor pirata, lo tendrá que hacer mediante su propia conexión a Internet, que en España, habrá conectado con alguno de los principales operadores telefónicos, como Movistar, Vodafone, Orange y Yoigo. Que normalmente, algunas de estas compañías telefónicas también son las titulares autorizadas para revender contenidos de futbol a sus propios clientes.
Hace unos días en España, La Liga, empresa organizadora de una de las mayores competiciones futbolísticas del país, y la cual tiene los derechos de emisión de sus propias competiciones. Anunció que un Juzgado de lo Mercantil de Barcelona, había emitido un Auto Judicial que obligaba a los principales operadores telefónicos del país a identificar a los usuarios que desde sus redes accedan a contenidos relacionados con el fútbol pirata. Aunque sobre el papel parezca algo sencillo, en realidad es un tema tecnológicamente complejo, por un lado están las compañías telefónicas a las que nos conectamos para disponer de internet en nuestras casas o dispositivos móviles, como por ejemplo: Movistar, Vodafone, Orange y Yoigo. Estas compañías conocen los datos personales de sus clientes: Nombre completo, dirección postal, DNI, cuenta bancaria, etc…
A nivel técnico, las compañías telefónicas no proveen de internet a sus clientes en base a sus datos personales, sino que a cada cliente se le asigna una dirección IP temporal y con este parámetro técnico pueden relacionar las conexiones a internet que pasan por sus redes con sus propios clientes.
Lo que se propone en este Auto Judicial, que de momento no se conoce en su integridad, por lo tanto solamente se pueden hacer especulaciones sobre su contenido y si realmente se podrá llevar a cabo, es que sean las compañías telefónicas españolas quien identifiquen con nombre, apellidos, DNI, dirección postal… a todas aquellas de sus conexiones de Internet que se conecten a alguno de esos servidores que proporcionan o bien las claves secretas CCCAM o directamente el contenido IPTV pirata. El listado de estos servidores pirata, sería el propio servicio de Antipiratería de La Liga quien se lo proporcionaría a las compañías telefónicas para que estas hicieran la monitorización en sus redes y descubrieran quienes de sus clientes se conectan a esas direcciones IP que ofrecen contenidos piratas. Para el descubrimiento de los servidores que ofrecen estos contenidos ilegales, existe un equipo técnico privado que están investigando en la red para localizarlos y bloquearlos.
Fig. Esquema CCCam
En la parte que se ha difundido de ese Auto Judicial, se entiende que la medida se se sustenta en el artículo LEC 256.1.11. (Ley de Enjuiciamiento Civil. No es un tema Criminal, que estaría únicamente circunscrita para delitos penales). Es decir, lo que se persigue según dicho artículo de la LEC es a los que difunden la señal de TV de forma ilegal, no a los que meramente la consumen. Por lo tanto, se trata según este artículo de identificar a los «pirateadores» que mediante sistemas de CCAM, IKS o IPTV se lucran revendiendo esta señal de TV de forma ilegal, ya sean las claves de descifrado del satélite o directamente la señal de video sobre IP. Es decir, por ejemplo, alguien que contrata una señal legal y luego la distribuyen a distintos usuarios de forma ilegal. Aunque podría, incluir otras autorizaciones más amplias para tratar de identificar a todo aquel que se conecte a un servidor pirata. Aunque si finalmente el Juez ordena a las compañías telefónicas que aporten los datos de titularidad de cualquiera de sus usuarios que se ha conectado contra una IP y Puerto concreto dado por La Liga, si se podría llegar a determinar quiénes son los titulares de las conexiones a Internet que están al menos moviendo tráfico de red contra unos servidores pirata determinados. Técnicamente esto no sería tan secillo como puede parecer un principio, las compañías telefónicas conforman ASNs (Servicios Autónomos de Red), los distintos ASN se tienen que conectar fisicamente entre sí para conformar lo que conocemos como Internet, una de las formas para que un ASN intercambie tráfico con otro ASN, es mediante las conexiones peering, esto no es mas que un acuerdo entre dos proveedores de servicios de Internet para intercambiar tráfico de red directamente entre sus redes, sin pasar por un tercero. Este intercambio directo de tráfico entre redes ayuda a mejorar la eficiencia y la velocidad de la conexión a Internet para los usuarios finales, pero a nivel de poder identificar el tráfico real de un usuario final contra una dirección IP concreta puede ser complicado, ya que estos enlaces de datos mueven grandes volumenes de tráfico por segundo.
Últimamente parece que evitar convertirse en la nueva víctima de un ataque de ransomware es Misión Imposible, en este artículo no te voy a explicar cómo ser Tom Cruise, pero si te voy a dar 10 #CiberConsejos que si aplicas en tu red o sistema informático, se lo vas a poner tan difícil a los cibercriminales que preferirán irse a otra red a cometer sus fechorías. Este es el símil de la casa y las rejas, si hay cinco viviendas en una calle, cuatro tienen rejas en puertas y ventanas y una no. – ¿Cuál creéis que será la más probable que roben?. En el ámbito cyber ocurre lo mismo. Existe una variable que no he comentado en el ejemplo anterior, esta es, el valor de lo que contenga la casa, si la que no tiene rejas apenas tiene efectos de valor en el interior, pero las que tienen rejas están llenas de obras de arte, ahora posiblemente sí que cambies de opinión ante la pregunta de: – ¿Cuál creéis que será la más probable que roben?. De nuevo, en el ámbito cyber ocurre lo mismo, una empresa u organización que sea de un alto interés para los cibercriminales, ya sea por la información que almacena o por el dinero que manejan, no cejarán en su objetivo hasta lograr culminar su ataque. Esto es lo que se conoce como APT, Advanced Persistent Threat, o Amenaza Persistente Avanzada: Es un tipo de amenaza de ciberseguridad en la que una organización criminal establece su objetivo en una empresa concreta, y hasta que no lo logre acceder a sus sistemas no parará, para ello usará todos y cuantos recursos tenga a su alcance, incluido el uso de: ingeniería social, Zero Days, contratación de isiders, campañas masivas, espionaje, spear phishing, etc…
Fig. ESXi afectado por ransomware
Antes de comenzar con los ciberconsejos, creo que es importante definir lo que es un ransomware en pleno año 2023, antiguamente un ransomware era un tipo de malware que bloqueaba un equipo informático y pedía un rescate económico para el desbloqueo (100€), como ese bloqueo era básico se podía reparar sin mucha complicación. Al poco tiempo comenzaron a lanzarse campañas de ransomware que lograban cifrar los ficheros de un ordenador en vez del sistema operativo en sí, las primeras remesas de este tipo de ransomware también se podían descifrar debido a fallos del proceso de cifrado. La tercera fase comenzó cuando la única forma de lograr recuperar los ficheros cifrados era tomando el control del servidor C&C desde el cual se había lanzado el ataque, una vez intervenido el servidor se podían recuperar las claves privadas de descifrado de cada víctima. Todas estas fases formaban parte de los ataques de ransomware 1.0.
Fig. Virus de la Policía
El ransomware 2.0 nació cuando además de cifrar los ficheros, los cibercriminales primero los exfiltraban y así en caso de que la víctima no quisiese pagar el rescate por la recuperación de los ficheros, la extorsionarían para que pagase el rescate a cambio de no difundir los ficheros confidenciales de la empresa que habían sido robados. Es decir, exfiltraba y cifraba.
El ransomware 3.0, en el cual nos encontramos hoy en día, es el que además de cifrar los ficheros y exfiltrarlos, en caso de que la víctima no pague, los cibercriminales lanzarán un ataque de DDoS contra los sistemas de la empresa u organización afectada, la finalidad de este nuevo ataque es dejarlos sin servicio y así presionar para que finalmente realicen el pago.
Fig. Ataque DDoS de Lockbit a VX
Finalmente, el ransomware 4.0 es el que una vez ejecutadas las dos o tres fases anteriores, los cibercriminales comienzan a vender los datos personales de los clientes que han sido exfiltrados de la empresa atacada, el objetivo es que un tercero los pueda utilizar para cometer fraudes a nombre de los clientes. Es decir, los perjudicados ya no solamente son las empresas atacadas, todos los clientes de esa empresa son potenciales víctimas.
Aquí os comparto 10 Ciber Consejos con los que una empresa u organización podrá protegerse contra el ataque de un ransomware, además, también la protegerán de otros muchos tipos de malware:
Segmentación de red: Divide la red en segmentos para limitar la propagación de un posible ransomware que consiga acceder correctamente a un equipo de la red, de este modo también te protegerás de posibles exfiltraciones masivas de datos que pudieran estar almacenados en otros lugares de la red. Para realizar esta tarea se deberá separar la red a nivel lógico mediante VLAN, cada una de ellas con un gateway y direccionamiento IP independiente. En caso de tener que interconectar dos VLAN, por ejemplo para acceder a una web o cualquier otro recurso que se encuentre en la intranet, solamente se deberá permitir el tráfico en una sola dirección de una red o rango concreto al puerto y dirección IP en el que está publicado el servicio en cuestión, esto es lo que significa minimizar la superficie de ataque, de poco sirve tener la red segmentada en VLANs si después en el firewall alguien permite que todo el tráfico, por ejemplo TCP, pueda llegar de la red A a la red B, es decir, un plan sin fisuras.
Seguro que si pregunto lo qué es un phishing, me diréis que es un tipo de engaño que trata de robar las credenciales de un usuario mediante una web que suplanta a la real, de este modo cuando la victima introduzca sus contraseñas en la web maliciosa se las robarán. Normalmente, los phishing se utilizan para robar contraseñas de entidades bancarias, redes sociales o correos electrónicos. Otro termino similar es el “smishing”, que es muy similar al phishing, pero que en este caso el engaño nos llega a través de un SMS que nos incita a acceder a un sitio malicioso desde nuestro smartphone.
Pero en el artículo de hoy vamos a hablar de algo parecido: el “vishing”, esta es una técnica de ingeniería social que mediante una llamada telefónica busca engañar a su victimas haciéndolas creer que las están llamando desde un teléfono oficial de una empresa, cuando en realidad es todo un engaño. Los cibercriminales con esta técnica maliciosa son capaces de hacerse pasar por una empresa y engañar a su victima para que revele datos confidenciales como sus contraseñas de la banca online o se instalen algún tipo de malware. Existen dos grandes modus operandi que utilizan esta técnica, el primer es la conocida como “Estafa de Microsoft”, en la que un cibercriminal mediante una llamada telefónica se hace pasar por un trabajador de Microsoft y con la escusa de haber detectado una malware en nuestro ordenador, nos incita a instalar de forma remota un supuesto antivirus que en realidad es el propio malware. El otro caso se da cuando el cibercriminal se hace pasar por un trabajador de una entidad bancaria, para lograr que la victima le indique el número de su tarjeta bancaria, las contraseñas de la banca online o el SMS con pin del 2FA que le llegará durante el proceso de estafa.
Fig. Llamada entrantes spoofeada mediante Asterisk
Pero… – ¿Qué tiene de interesante este tipo de estafas desde el punto de vista cyber?. – La clave es que para lograr el engaño, los cibercriminales consiguen modificar el número de teléfono que aparece en la pantalla del móvil de la victima por el de la entidad o empresa a la que están suplantando, de este forma pueden engañar más fácilmente a sus victimas. – ¿Y que clase de brujería es esta?. – Bueno, no voy a entrar a explicar muy en detalle como lo hacen los cibercriminales, ya que no es el objetivo de GLIDER.es 😉 . Básicamente, el procedimiento es desplegar en un servidor propio una centralita de VoIP como por ejemplo Asterisk, darla de alta en un SIP Trunking y luego en el propio Asterisk modificar la configuración del Caller ID para utilizar el identificador de llamadas de la empresa a la que se va a suplantar, es decir, el objetivo de todo esto es que en la pantalla del teléfono al que llamamos aparezca el número de teléfono de la empresa que estamos suplantando en vez del real.
Fig. Consola centralita FreePBX
Antes de explicar que son todas esas siglas que he escrito en el párrafo anterior, os voy a poner un ejemplo para que se pueda entender mas fácilmente el “truco” del spoofing en el número de teléfono, también conocido como vishing. El ejemplo es el siguiente: imaginaos que vamos a enviar una carta postal, las de toda la vida, en el anverso escribimos los datos del destinatario de la carta, en el reverso escribiremos la dirección del remitente, es decir, nuestra dirección ya que somos quien enviamos la carta. Pero. – ¿Hay algún problema si en el remitente escribimos la dirección de otra persona?. – La realidad es que no, la carta llegará a su destino sin ningún tipo de complicación, cuando el destinatario mire el remitente creerá que la carta se la ha enviado esa persona, cuando en realidad ha podido ser cualquier otra, esto ocurre al no comprobar por parte de Correos la identidad real del remitente. Exactamente esto es lo que ocurre con el Caller ID en una llamada de VoIP. Es posible modificar maliciosamente el identificador de llamada del remitente/llamante para hacerse pasar por cualquiera otro llamante legitimo, ya que el sistema de tránsito de llamadas no comprueba la veracidad del CallerID (existen proyectos que están trabajando en la implementación de un sistema que si lo compruebe a nivel global). En el caso del smishing funciona exactamente igual, la única diferencia es que en vez de generarse una llamada maliciosa de voz, se envía un mensaje de texto con un remitente suplantado.
Aunque en la teoría modificar el Caller ID pueda parecer un proceso sencillo, en la vida real no es tan fácil, ya que además de tener que disponer de un servidor propio de VoIP en el que se pueda modificar el Caller ID, es necesario encontrar un SIP Trunking que permita enrutar llamadas salientes sin comprobar que provienen de su titular legitimo y esto no es tan sencillo.
Fig. Configuración outgoing proveedor SIP
Vamos ahora a por unas cuantas definiciones básicas que serán de utilidad para entender todo esto del spoofing via VoIP (Voz mediante IP).
Caller ID: Es el identificador del llamante, se trata de un dato que se trasmite junto con la llamada en sí para informar al destinatario quien lo está llamando. Este dato es la clave de todo el engaño, si se consigue realizar una modificación de este parámetro, se podrán realizar llamadas suplantando cualquier número de teléfono real.
SIP Trunking y Proveedor SIP: Son las siglas de Session Initiation Protocol, se trata de un protocolo que permite enrutar una llamada desde la centralita de VoIP (PBX) al destinatario de la misma. Si la llamada tiene que salir fuera de la organización o empresa, será necesario contratar un proveedor SIP para que esas llamadas puedan llegar a cualquier centralita de otro destinatario a través de Internet. Un símil sería como tener un DNS local o usar un DNS global, el DNS local lo podemos administrar de forma interna en nuestros servidores sin ningún tipo de coste, mientras que el global es necesario alquilar el uso del servicio a un proveedor externo.
SIP ID: Es un identificador que puede ser un nombre de usuario, una dirección de correo electrónico o un número único asignado a cada usuario o dispositivo. El SIP ID es esencial para el enrutamiento de las comunicaciones y asegura que las llamadas y otras sesiones se dirijan correctamente al destino deseado en una red VoIP. Este termino no lo hay que confundir con el Caller ID, ya que no son lo mismo, mientras que el SIP ID es un identificador utilizado en el protocolo SIP para enrutamiento y gestión de sesiones en una red VoIP, el Caller ID es la información que se muestra en el teléfono receptor para identificar quién está llamando.
Asterisk: Es un software de código abierto que funciona como una centralita telefónica (PBX). Utiliza el protocolo SIP para establecer y gestionar llamadas de voz y vídeo a través de redes IP. Es uno de los sistemas mas conocidos en el mundo del VoIP, entre otras cosas gracias a que es una plataforma extensible y que permite crear servicios personalizados como IVR.
FreePBX: Un PBX (Private Branch Exchange) es la propia centralita de llamadas en si, este sistema actúa como intermediario en las comunicaciones telefónicas internas y externas de una organización, facilitando la administración y gestión de las llamadas. En el caso de FreePBX se trata de una herramienta de código abierto que permite realizar esta tarea a nivel software sin necesidad de necesitar ningún tipo de hardware específico.
CDR: (Call Detail Record) Es un registro detallado de la llamada telefónica que contiene datos como la duración, fecha, número de origen y destino, identificación del dispositivo, etc. Estos registros son generados automáticamente por la propia centralita que almacena toda la información en una base de datos. Normalmente estos datos tambien se guardan en el SIP Trunking en caso de tenerlo contratado.
IVR: (Interactive Voice Response) Es el sistema automatizado que permite a los usuarios interactuar con una grabación utilizando comandos de voz o teclas numéricas en sus teléfonos. Es el típico «pulse 1 para hablar con ventas» o «pulse 2 para hablar con fábrica».
Softphone: Es el programa que tienen que instalar los usuarios de un sistema VoIP para poder realizar llamadas desde un ordenador a través de la centralita asignada. Es similar a un teléfono virtual, con su teclado, agenda de contactos y botón de llamar y colgar. Para utilizarlos es necesario disponer de un micrófono y altavoz conectado al ordenador. Tambien existen teléfonos VoIP hardware, que serían practicamente iguales a un telefono tradicional analógico.
A nivel forense, toda la información que necesitamos estará en el servidor de VoIP desde el que se generan las llamadas maliciosas, normalmente son servidores Linux tipo VPS, desplegados en un CPD de cualquier parte del mundo, al cual el cibercriminal se conectará mediante un SSH para administrarlo de forma remota.+
