# Hack # # INsecurityOT # # Espanol # # Yoigo #

Ejemplo de internet inseguro: Yoigo España

Ejemplo de un proveedor de internet inseguro: Yoigo (España)
Exepcionalmente, este articulto esta escrito en dos idiomas... con esperanza que gente de Yoigo lo lean y actuan!

Read in English
Inicialmente, no pensaba publicar este articulo, pero una factura de 180€ me hizó cambiar de opinion - 180€ de gastos de instalacion que me cobran para renunciar a su servicio despues de 3 dias por tema de seguridad!!!
Como se los prometio, al recibir la factura, comparto mis dudas sobre su seguridad.

Hace 3 días, llegué a mi casa de vacaciones en España, con la firme intencion de entender porque ya no me podía conectar alla desde fuera.

Conclusion: Movistar ha actualisado el firmware del router, traendolo a parametros de factoría, mientras... Adios range, Adios DMZ, Adios port forwarding...
Despues de una hora pasada intentado hablar con un ser humano para pedir que no lo vuelvan a hacer, llame a un competidor, que me propusó la instalacion al dia siguiente \o/!
Paque no cambiaría... cuando no puedes llamar a to companía de telefonos, a lo mejor te indica un problema!
Anteayer pues, Yoigo vino a instalar a mi nueva conexion de internet.

Internet iba rapido, la tele tenía imagen perfecta, ... todo bien verdad?

Entonces, empiezo por poner mi firewall en la DMZ para que vuelvan online mis servicios...
Hecho! ... nada funciona

Eso ha sido mi primer encuentro con CGNAT (Carrier Grade NAT). Que es cuando parece que tu router tiene una direccion IP asecible, pero de verdad no la tiene, tiene una direccion en el rango 100.... que no corresponde a la IP publica que obtienes con dig.
Somos en 2022, y hay provedores de internet que prefieren implementar CGNAT que IPv6... cuanto tiempo durara esta mascarada?
Una llamada de telefono rapida (facil de hablar con alguien!), apagar y encender el router el dia siguiente y por fin... tenía una IP publica propia, mis servicios vuelven a funcionar de verdad!

Mientras estaba buscando en la interfaz del router, me ha parecido interesante ver que yoigo permitia accesso externo al router por defecto, con un usuario/contraseña de 1234/1234. El Guru de seguridad de Yoigo sabe que sus clientes estan a salvo a traves del CGNAT [sic].
Reporté eso a varias ocasiones a Yoigo, no parece ser un problema...
No solo que ya staba fuera de CGNAT cuando me di cuenta del fallo, pero que podría ser ilegal conectarse al modem de otro usuario, total que no intenté conectarme ninguna otra IP de esta forma, ni siquiera sé si functiona la tecnica en practica.

Esta configuracion por defecto es el sueño para gente con mala intencion:
- Ya que accesso externo a la interaz de admin del router permite brute force - 1234/1234 lo hace todavia mas facil.
- El 1234/1234 por defecto significa que un malware functionando sobre cualquiera compu o movil podría joder la red interna!

Mientras cambiar la contraseña y desactivar el acceso externo al router es bastante facil, mi experiencia dice a mi intuicion que muy poca gente lo van a cambiar una vez funcione la tele y el youtube... Me daría mucha verguenza entregar un producto con esos parametros a un cliente: es una bomba de efecto retardado!

Luego, decidi de cambiar el rango interno del router, para no tener el mismo 192.168.1.X en cada lugar. Espero que eso sera mi ultima sorpresa con Yoigo, porque mientras estaba en el range 192.168.3.X, el dhcp del router me siguía dando como DNS 192.168.1.1 - igual que habia puesto 192.168.3.1 en la config - al router no le importa, sospecho una constante en el codigo...

No que me molesta de verdad pa mi red, unbound me va mucho mejor que su DNS, pero al medio del CGNAT, de los parametros por defectos desastrosos y de las valores hardcodeadas en el router, en algun momento perdi fé en la capacidad de Yoigo a montar una red segura.

Para acabar, pasé mas de 2 horas al telefono con Yoigo y todos los operadores con quien hablé han sido exquisitos, haciendo su trabajo bien. No pido que un operador pueda entender un bug de firmware o un rango de IP en /28, pero hubiera querido tener la posibilidad de informar una persona competente de esos problemas. Sus pruebas indican que no hay problema con la liña, entonces no se puede abrir un ticket...
Me parece claro que el origen del problema esta en la direccion de Yoigo: Ya que obiamente, sus decisiones indican que no tienen conocimientos en redes, luego o no son capazes de adquirir competencias internas qualificadas - o no los escuchan sus recomendationes.

A este punto, recomendaría no trabajar con ellos - lo que es una pena visto lo facil que son de contactar por telefono (comparado con sus competidores)!

Yo_I_Go!

view_list Categories