Si la WiFi de tu vecino (esa que vos pirateas) hoy te apareció como el nombre «Quiten los Tranques», no te aflijas, no es que el maje empezó a trabajar en el Gobierno, es simplemente parte de un hack masivo que está sufriendo Claro desde hace días.
Al comienzo creíamos que estaba relacionado a aquella lista gigantesca de contraseñas de cable modems que nos filtró el hacker Pedrón el año pasado. Después salieron indicios que solo se trataba de Modems RCA Thompson. Mientras tanto, Claro publicó el siguiente comunicado:
Qué quiere decir «incidentes externos»? Ni idea prix, eso se traduce a «cosas pasan» o «la vida da vueltas».
Cuando Claro no dice nada, Bacanalnica investiga
Inmediatamente nos pusimos a investigar. Y cuando digo investigar quiero decir que comenzamos a preguntarle a la gente que realmente sabe. Lo primero fue conseguir información de los que sufrieron el ataque. Tanto en Facebook como en Twitter preguntamos 4 cosas:
1- ¿Qué marca/modelo es el Cable Modem?
2- ¿Tenía la clave por defecto?
3- ¿Cuándo lo hicieron?
4- ¿En qué parte de Nicaragua está el Modem?
Ahí nos dimos cuenta que no pasó únicamente con Modems RCA Thompson y que tampoco fue solo a Modems que tenían la clave de fabrica.
Tengo amigos hackers, tenganme miedo
Fue entonces que recurrí a mis contactos en el bajo mundo del Internex. La mera tamalada del doble v, doble v, doble v. El primer amigo que contacté fue a Pedrón, pero es la hora y no me ha contestado nada.
Luego fui a unos cuantos foros y grupos de majes nerdos que hablan en unos y ceros, pero no decían nada nuevo.
Leí un reportaje de La Prensa, pero andaba por los aguacates.
Llamé a otro amigo y por fin me dio algunas pistas. Me dijo que averiguara sobre el protocolo SNMP.
En Reddit me dijeron que eso tuvo que haber venido del Proveedor (Claro), pues se trata de un archivo de configuración que no cualquiera puede subir a los modems (usando TFTP).
Curiosamente en Facebook, una amiguita que sabe mucho me dijo lo mismo:
Eso fue interno, los cablemodems tienen un archivo de configuración que se descarga cada vez que inicia secesión que contiene la limitante de velocidad contratada y muchas configuraciones adicionales… seguro alli les llegó el cambio
Y más tarde, José Sanchez me mandó su investigación, donde según él usaron el protocolo TR-069.
Aja Hacker de Petronic, conclusión?
Sea por TFTP, SNMP o TR-069, broder, la conclusión es que esto no lo hizo un maje gatubelo. Y la verdad se lo pudieron haber hecho a cualquiera que usa Claro como proveedor. Porque al final, al que hackearon no fue a vos o a mi. En realidad los majes hackearon los equipos que administran los modems de Claro.
Como dije, no es cualquier trompudo el que hace algo así.
Por otro lado, que te cambien el nombre de la Güafai no es tan grave como que te lean tus mensajes vandálicos de WhatsApp y eso no se puede hacer con estas técnicas. A lo sumo lo que pueden hacer es fregarte el Modem y Claro te tiene que poner otro.
¿Cómo prevenir otro ataque?
Para prevenir otro ataque como éste, la solución es desconectar cuidadosamente el Modem, meterlo en un bolsa plástica (si tienen de papel, mejor) y llevarlo al centro de atención al cliente más cercano. Una vez ahí, pedir número, esperar 2 a 3 horas y cuando por fin te toque tu turno frente a una ñorita, decir lo siguiente:
«Aquí le dejo su chunche viejo, por favor rompa mi contrato y ni se moleste en cobrarme multa, porque me los llevo a Telcor en reclamo y ahí segurito la pierden por semejante incidente externo«.
Este procedimiento te garantiza que no volverán a entrar a tu modem Claro, pero no evita que hackeen tu siguiente modem con otra empresa. ¯\_(ツ)_/¯
Además, buena suerte consiguiendo 50mbps en fibra a $100 con una empresa que no sea Claro. Seguro vas a pagar el doble y vas a recibir la mitad de velocidad. Adiós películas en 1080.
Por último, un mensaje al que hizo todo esto: ¿Y se quitaron los tranques?
Esta investigación demuestra el elevado profesionalismo de bacanalnica.com
Gracias prix por proporcionarnos está «claridad»
no es posible que un pais entero este empobreciendose mas por el capricho de una familia en el poder hay que matarlos a la verga matarlos exterminarlos a todos los ortega murillo su familia no vale mas que la de nadie todos somos iguales al final por que tener miedo de matarlos muerto el perro se acaba la rabia debemos matarlos que corra la sangre ortega murillo no tengas miedo nica matalos a todos ellos matan a tu familia si los matamos a ellos nada va a pasar hay que matarles es lo justo ellos no se merecen una salida democratica hay que mandarlos al infierno ya despierta nicaragua despierten empresarios matan a tu familia empobrecen al pais a quien le importa los ortega murillo y su dinero lo que importa es el rumbo del pais ve y vengate mata a su puta familia ortega murillo no son nadie no hacen falta nadie los va aextranar la vida va a seguir el pais va a seguir no importa quien sea solo elimina un ortega murillo venganza nicaragua venganza hay que matarlos a como ellos nos mandan a matar empresarios de mierda despierten hay que desaparecer a los ortega murillo ya vale verga la salida democratica no tenemos mas tiempo para esa mierda hay que matarlos ya
Segun un blog se puede deshabilitar CWMP para evitar la administración remota
https://blogdefenrir.wordpress.com/2018/06/08/como-mi-proveedor-de-internet-claro-le-cambia-el-nombre-a-mi-red-wifi/
A mi me parece que es más fácil hecharle la culpa a factores externos que averiguar quien desde adentro le metió mano a las configuraciones.