Ayuda Ley Protección Datos

Phreakers o piratas telefónicos. ¿Qué son y a qué se dedican?

A medida que continuamos viendo un número creciente de casos de fraude telefónico, con frecuencia les recordamos a nuestros clientes que consideren los requisitos mínimos de seguridad telefónica. El fraude telefónico puede ocurrir mediante la piratería de servidores para clonar personas o la piratería del sistema telefónico en sí. Este último se conoce como Phreaking. Y las personas que lo realizan son los phreakers. En este artículo explicamos qué son los phreakers o piratas telefónicos, qué hacen, qué técnicas utilizan, los riesgos y las diferencias con los hackers.

¿Qué es el phreaking?

El phreaking telefónico, en términos simples, es cuando tu sistema telefónico es explotado sin tu conocimiento para que los delincuentes puedan acceder a servicios como llamadas internacionales o tu correo de voz. Una vez que los phreakers obtienen acceso a varios sistemas telefónicos, los reúnen para crear sus propias redes y usarlas en todo el mundo. Luego, cada llamada se enruta a través de una red de estas líneas telefónicas phreaked, lo que hace que sea difícil rastrearlas. ¿El resultado? Una factura paralizante financieramente para el propietario de la línea telefónica, con algunas personas perdiendo millones a manos de phreakers. Es importante tener en cuenta que si tu línea telefónica es pirateada, el pagador de facturas será responsable de pagar las llamadas, sea cual sea el coste.

Los piratas informáticos atacan tu red de voz como lo harían con tu red de datos. En lugar de inundar tu servidor con correos electrónicos salientes, inundan tu sistema telefónico con llamadas salientes. Tu factura de teléfono cubrirá el coste de esas llamadas. Sin embargo, este es un ejercicio para generar ingresos para los piratas informáticos, por lo que no quieren que sepas que has sido pirateado. En el peor de los casos, tu sistema telefónico realizará llamadas constantemente durante las noches y los fines de semana, utilizando todas las líneas troncales que tengas disponibles, llamando a números internacionales de reparto de ingresos (piensa en un número de tarifa premium en el extranjero). El propietario de esos números obtiene ingresos de las llamadas entrantes y tu tienes una factura de teléfono considerable al final del mes.

El Phreaking genera más ingresos anualmente que el fraude con tarjetas de crédito. Es un problema global a cargo de los sindicatos del crimen organizado, vinculado a la distribución ilegal de drogas y al terrorismo. Emplean ingenieros altamente capacitados que buscan constantemente nuevas formas de eludir las medidas que la industria toma para detenerlos y, por estas razones, vale la pena analizar nuevamente cómo está protegida tu empresa.

¿Qué hacen los phreakers?

El “phreaking” o la piratería telefónica ocurrirán con mayor frecuencia (pero no exclusivamente) si tienes líneas telefónicas VoIP, ya que estas se ejecutan mediante computadoras. VoIP ofrece una gran flexibilidad para poder mover o transferir líneas telefónicas, reducir los costes de llamadas, etc., pero también están asociados con una cuenta en línea que puede ser pirateada. La cuenta es pirateada, autenticada y luego utilizada para realizar llamadas en curso.

Los phreakers utilizan casi siempre el buzón de voz. Si los piratas informáticos pueden controlar un buzón, lo reprogramarán para reenviar todas las llamadas entrantes directamente a un número de reparto de ingresos internacional. Luego, todas las llamadas realizadas al número directo en ese buzón de correo de voz reenviarán las llamadas en tus líneas telefónicas, lo que te costará dinero. Los phreakers pueden apuntar a los propios sistemas, pero es mucho más difícil acceder a ellos, ya que el personal de TI interno y los encargados del mantenimiento del sistema son generalmente más conscientes de los riesgos de seguridad y las medidas de prevención.

Esencialmente, un phreaker de teléfono intentará identificar y manipular varias frecuencias de audio asociadas con los tonos que se utilizan para proporcionar una variedad de servicios a los clientes telefónicos. En años más recientes, la tecnología del phreak telefónico se ha extendido a intentos de hacer uso también de componentes de audio como parte de un proceso para estudiar e identificar la piratería electrónica con sistemas y servidores informáticos.

El proceso de hacer phreaking es relativamente simple en las circunstancias adecuadas y se puede completar en cuestión de minutos. Esto significa que cualquier negocio está técnicamente en riesgo de Phreaking, si no ha tomado las precauciones adecuadas. El objetivo final del pirata informático suelen ser las llamadas gratuitas, por lo que el riesgo aumenta si tu empresa tiene largas ausencias, está cerrada los fines de semana, tiene varias líneas telefónicas o utiliza personal a tiempo parcial. Los objetivos especialmente favorables son las escuelas, universidades y colegios, cuyos largos períodos de vacaciones reducen el riesgo de detección inmediata, aunque no son objetivos exclusivos.

Técnicas más empleadas

Se utilizaron muchos métodos en el phreaking telefónico, pero la mayoría de los métodos más antiguos ya no son prácticos, la simple razón es la transformación de las líneas telefónicas de un trabajo manual a un trabajo digitalizado. Hay muchos métodos que se utilizaron y hablaremos de ellos a continuación.

Mute Box

Un Mute Box era un dispositivo electrónico que se utilizaba para recibir llamadas de larga distancia sin ser detectado. Lo que el Mute Box generalmente hacía era que solía tomar una resistencia de 2.7 kiloohmios en serie con la línea telefónica, de modo que cuando entraba la llamada, tenía un pequeño botón que presionaba muy rápido y que detendría el tono de llamada pero aún dejaba la conexión abierta. Debido a esto, no habría suficiente corriente para desconectar el teléfono y, por lo tanto, el equipo de facturación no se activará.

Te hace recibir la llamada de la persona que te está llamando absolutamente gratis … eso significa que no se te cobrará nada. Esto ocurre porque no contestas el teléfono. Lo has dejado colgado. Pero al mismo tiempo, estás escuchando el audio porque el audio puede viajar a través de esa resistencia de 2.7K hasta el teléfono.

Loop Around

Los números Loop Around eran números que comenzaban con 0044 o 0045. Eran números que al llamar producían un tono de 1000 Hz que se interrumpía cada 10 segundos. Entonces, si alguien llamaba al 0045 en el momento en que estaban en la llamada 0044, ambos podrían conectarse y hablar lo que quisieran, durante todo el tiempo que quisieran, absolutamente gratis.

Party Lines

Party Lines eran los números que eran como números de una estación de radio que están ocupados. En estos números, se podía hablar entre los pitidos de ocupado y se podían dar información entre sí, aunque no se usaba mucho porque era difícil escuchar entre los pitidos.

Posteriormente, surgieron otras técnicas como Bluebox, Blackbox y Redbox que explicaremos más adelante.

Terminación silenciosa

Las líneas de terminación silenciosa son un tipo de línea de prueba que utiliza la compañía telefónica para probar el enrutamiento de llamadas. Existen muchos de esos números. Dos de esos números tenían un significado mayor fuera del alcance normal. Estas fueron las líneas utilizadas durante la división del código de área y se conocieron como líneas de prueba de terminación de Alberta. Esta característica conecta a la persona que llama a un puerto con resistencia fija, siendo 600 ohmios o 900 ohmios los más comunes. No debería haber nada más que un silencio absoluto en la conexión. Los clics, la estática o la diafonía serán claramente evidentes si se utiliza una línea ruidosa para marcar esta prueba.

Las líneas de prueba de terminación de Alberta son un tipo de línea poco común que se usó justo antes en algún momento durante la división del código de área de Telus en Alberta. Los números son más o menos los mismos que los de las líneas de terminación silenciosas y se utilizaron para probar el enrutamiento de llamadas en el nuevo código de área. Solo se sabe que existen dos de esos números, ambos están dentro del código de área 1780.

Línea de bucle

Estos números existen en pares vinculados. Llama a un número y obtendrás un tono. Llama al otro número y obtendrás un silencio de muerte. Si se llama a ambos al mismo tiempo, establecen una conexión. Luego podías hablar a través de esta conexión, pero ahora hay filtros que bloquean el habla colocados en la mayoría de los bucles. La determinación de la línea silenciosa no fue posible porque dependía de los caprichos y fantasías del Operador. Estos números generalmente tenían una estructura de números por delante.

ANAC

Esta marcación de prueba leerá el número de la línea desde la que estás llamando. En raras ocasiones, encontrarás ANAC con una respuesta DTMF para usar con terminales de prueba remotos. Básicamente se usó para identificar números que podrían usarse con fines de conversación sin exponer su identidad como teléfonos públicos.

DATU

Las DATU (unidades de prueba de audio digital) son una bendición para los técnicos y phreaks telefónicos de todo el mundo. Los DATU permiten a la persona que llama monitorizar líneas, pares abiertos y cortos y poner tonos de rastreo en el par. Si bien puede que no suene demasiado emocionante, tiene un puñado de aplicaciones.

¿Qué peligros pueden causar?

El mayor impacto para una empresa es el coste; una vez pirateada, una línea telefónica puede usarse para hacer llamadas una tras otra, a números de alto coste. Por ejemplo, las llamadas de larga distancia se llaman sistemáticamente, lo que puede costarle a una empresa miles de euros en solo unos días. Una vez que se han realizado las llamadas, no tienes ningún recurso formal, por lo que eres responsable de los cargos, sin importar el coste. En muchos casos, el impacto devastador es la quiebra.

A los ojos de tu proveedor de línea, las llamadas realizadas en tus líneas telefónicas son tu responsabilidad y, como tal, eres responsable de la deuda. Las compañías de seguros tienden a no cubrir este tipo de fraude, aunque ciertamente recomendamos preguntarles. Los culpables no son rastreables y los números internacionales no pueden ser interrogados para encontrar al beneficiario financiero (el crimen organizado operará fuera de países a los que nuestras leyes no pueden extenderse). Tu proveedor de línea te hará responsable de la deuda.

¿Quién fue el primer phreaker?

Se debaten los orígenes exactos del phreaking telefónico, aunque existe un acuerdo general de que el arte del phreaking nació a mediados del siglo XX. A medida que más y más proveedores de servicios telefónicos comenzaron a implementar la conmutación automática para la mayoría de las llamadas, en lugar de depender de la conmutación manual por parte de un operador. La conmutación automática implicaba el uso de señales de audio que permitían que los conmutadores telefónicos captaran una serie de tonos para procesar correctamente la llamada de marcación directa.

A fines de la década de 1950, un joven llamado Joe Engressia, más tarde conocido como Joybubbles, descubrió que podía silbar un tono que le permitía tomar una línea telefónica. Notificó a su compañía telefónica local en un intento por enterarse de lo ocurrido. Si bien al principio no intentó hacer uso de este talento, en años posteriores a menudo se lo citó por hacer uso de sus habilidades de phreaking.

Sin embargo, uno de los phreakers más famosos es John Draper, que era conocido como Captain Crunch. El polémico pero genial phreaker consiguió entrar descubriendo que un juguete de caja de cereales, más específicamente un silbato, si era modificado emitía un tono como el de AT&T cuando la línea podía recibir una llamada. Le detuvieron en numerosas ocasiones pero también trabajó en Apple. Hoy se considera una leyenda entre los hackers, porque en su momento no solo innovó en el campo sino que creó problemas para las compañías telefónicas.

Otros piratas telefónicos famosos

Durante el resto del siglo XX, surgieron otros phreakers, junto con grupos de phreaks telefónicos que se unieron y continuaron descubriendo riesgos de seguridad en los sistemas telefónicos. Más de un phreaker de teléfono recibió atención nacional, y algunos de ellos se convirtieron en innovadores en el desarrollo de computadoras domésticas. Dos famosos phreakers telefónicos fueron Steve Jobs y Steve Wozniak, quienes fundaron Apple Computers.

Bluebox, blackbox y redbox

Ahora, analizaremos las tres técnicas más usadas en phreaking.

Bluebox

Los dispositivos electrónicos que usaban la frecuencia de aproximadamente 2600 Hz para explotar el sistema telefónico se conocieron como Blue Boxes. Los experimentos iniciales con esta técnica ocurrieron con instrumentos o silbatos, pero el uso de la electrónica mejoró en gran medida la capacidad de lo que se podía hacer y abrió posibilidades a personas con mejores habilidades técnicas que la musicalidad.

A principios de la década de 1970, varias revistas publicaron artículos sobre el phreaking azul, algunos con esquemas. Los radioaficionados, que estaban acostumbrados a trabajar en electrónica, comenzaron a construir cajas azules según los planos.

Steve Wozniak dijo en 1986 que estaba haciendo phreaking para aprender sobre el sistema telefónico y divertirse con bromas. Dijo que siempre pagaba cuando llamaba a sus padres o hacía una llamada que no fuera una broma, y ​​que dejó de hacerlo después de seis meses porque no quedaba nada que aprender. Expresó su sorpresa de que otros se estuvieran beneficiando del este método y estafando a la compañía telefónica.

El boxeo azul experimentó un resurgimiento una vez que las computadoras personales y los módems se hicieron populares. La computadora y el módem dieron otra razón para robar el servicio de larga distancia, y las propias computadoras podrían generar los tonos. Usando software, la computadora misma podría convertirse en una caja azul.

Las contramedidas de las compañías telefónicas y los cambios en la forma en que funcionaban las redes telefónicas eventualmente hicieron que la caja azul fuera ineficaz y obsoleta. El legado de Bluebox permanece.

Blackbox

Las cajas negras son un tipo de caja que no se conocía en los años 80 y 90. Permitieron que una línea residencial recibiera llamadas sin cobrarle a la persona que llama, de hecho, convirtieron su línea fija en un número 900. Era solo una resistencia o un diodo Zener en línea con la línea telefónica, y derrotó los relés mecánicos en la red telefónica que se usaban para activar la facturación. A diferencia de las cajas rojas o las cajas azules, las cajas negras funcionaban en el extremo receptor.

Redbox

Las cajas rojas no tienen nada que ver con los quioscos de películas. Probablemente se les llame cajas rojas porque los teléfonos públicos son tradicionalmente rojos en el Reino Unido. Los recuadros rojos simulan los tonos que utilizan los teléfonos públicos para realizar llamadas gratuitas en teléfonos públicos. Se cree que esto también funcionó desde líneas residenciales en algún momento, para evitar una llamada de peaje, pero las historias que escuchas hoy hablan sobre su uso en teléfonos públicos. Las utilidades de phreaking para el Commodore 64 contenían la funcionalidad de caja roja, así que sé que la gente lo probó en casa. Pero puede que solo haya sido útil para grabar en una cinta y luego reproducir desde una grabadora.

Eventualmente, los teléfonos públicos contenían filtros en sus teléfonos para filtrar los tonos que las personas tocaban en ellos.

La versión española: Mahou Box

La comunidad ‘phreaker’ española generó un montón de documentación propia e instrumentos propios, como la Mahou Box, que permitía hacer llamadas gratuitas y cuyos planos se ofrecían libremente en Internet: La Mahou box es una caja diseñada en España y para usarse aquí, esta caja no evita que llegue la factura marcando lo que hemos llamado. Lo que si evita es pagar esas llamadas.

Diferencias entre phreakers y hackers

El sistema telefónico fue la primera utilidad a gran escala con la que la gente interactuó, en lugar de simplemente consumirla. Y los paralelismos entre el sistema telefónico y un sistema informático tienen sentido una vez que lo piensas, a pesar de que el sistema telefónico fue en gran parte electromecánico durante la mayor parte del siglo XX. Como un sistema informático, el sistema telefónico dependía de la entrada del usuario. Un consumidor tomó el teléfono, marcó un número y luego el sistema reaccionó en función de lo que marcó el usuario.

Un hacker es el que siente curiosidad por el funcionamiento de cualquier software de computadora. Muy a menudo no son otra cosa que una unidad de programadores inteligentes. Tienen conocimientos avanzados de sistema operativo y lenguaje de programación. Requieren datos relacionados con una variedad de agujeros de seguridad, por lo que pueden explotar y dañar o robar conocimiento.

Por otro lado, los phreakers son los que obtienen acceso ilegal al sistema telefónico. Se les considera los piratas informáticos originales, ya que son los que entran ilegalmente en el sistema telefónico y realizan llamadas de larga distancia. Anteriormente, Phreakers silbaba o usaba un instrumento para imitar los tonos de los operadores del sistema telefónico para enrutar llamadas e identificar pagos para evitar pagar una llamada costosa. Por lo tanto, básicamente atacan los sistemas telefónicos para obtener acceso telefónico gratuito o utilizan la línea telefónica para transmitir virus y acceder, robar y destruir datos. Ahora, entran en el sistema de la empresa y manipulan los datos.

Los piratas telefónicos en la actualidad

Actualmente los phreakers, por sus prácticas similares, se pueden considerar un subgrupo de hackers dedicados a la telefonía. Incluso en importantes foros de hackers podemos ver esta disciplina en el subapartado correspondiente a comunicaciones.

Una de las razones por las que esto ocurre es porque las personas no ven el valor de la información y los phreakers han encontrado formas de usar la información personal para llamar y piratear el proceso de verificación personal. Los phreakers pueden llamar y utilizar la información para acceder a los detalles de las personas. Por lo tanto, es muy importante elegir un proveedor que tenga un proceso de verificación seguro. Además, si estás instalando aplicaciones en tu dispositivo móvil o computadora de fuentes no oficiales, corres el riesgo de infectar tu dispositivo con software que puede usarse para hacer phreaking. Es esencial que nadie subestime el riesgo de phreaking telefónico, ya que cualquier persona puede ser atacada. Empresas, organizaciones benéficas, escuelas, organismos públicos e individuos están en riesgo.