Redazione RHC : 9 septiembre 2025 09:37
Las empresas italianas que utilizan plataformas de telefonía en línea (VoIP) basadas en software de código abierto como Asterisk y Vicidial recurren a estos sistemas para contactar a diario con los ciudadanos italianos, ofreciendo diversos productos y servicios.
Paragon Sec, durante una búsqueda clandestina, identificó numerosos centros de llamadas de empresas italianas activas en diversos sectores, desde la promoción de paneles fotovoltaicos hasta el suministro de agua, electricidad y gas, pasando por productos de bienestar.
Lo que hemos descubierto Sin embargo, es alarmante: una filtración de grabaciones de audio privadas entre operadores y clientes, que se hizo pública en la web sin ninguna protección.
Las grabaciones de audio de los call center no son simples archivos técnicos; contienen las voces, los datos personales y la información cotidiana de los ciudadanos italianos. Si este contenido termina en línea sin protección, los riesgos se vuelven reales e inmediatos.
Además, la voz es un dato biométrico. Esto abre la puerta a escenarios inquietantes: estafas de banca telefónica, órdenes falsas a asistentes virtuales e incluso manipulación en el ámbito laboral o familiar.
El RGPD (Reglamento UE 2016/679) y el Código de Privacidad Italiano (Decreto Legislativo 196/2003) imponen obligaciones específicas:
La visualización de estos archivos en línea, sin autenticación, cifrado ni controles de acceso, constituye una infracción directa de la ley y puede acarrear sanciones significativas.
Si no se protegen, estas grabaciones pueden utilizarse para cometer fraudes. Phishing e ingeniería social, con riesgos inmediatos para clientes y operadores.
Las grabaciones no se almacenaron en archivos confidenciales o en la red oscura: simplemente estaban disponibles en línea, accesibles para cualquiera que supiera dónde buscar.
Nuestro equipo de analistas utilizó una plataforma de terceros con un motor de búsqueda que indexa dispositivos y servidores expuestos a internet. Mediante consultas específicas, fue posible identificar servidores de centros de llamadas italianos que utilizaban plataformas como Asterisk o Vicidial.
Estos sistemas, si están mal configurados, exponen carpetas que contienen archivos .wav o .mp3 de conversaciones entre operadores y clientes. Algunos servidores también mostraban directorios web que se podían explorar sin autenticación, una falla de seguridad básica que hacía que los registros fueran accesibles para cualquiera.
Muchos de estos sistemas, basados en Asterisk y Vicidial, se configuraron sin autenticación ni cifrado, lo que hacía que los registros privados fueran públicamente accesibles.
Las empresas implicadas se arriesgan a:
Las grabaciones de audio exponen no solo a las empresas, sino sobre todo a los ciudadanos italianos que reciben llamadas de los centros de atención telefónica a diario. Las conversaciones filtradas contienen información que puede tener consecuencias directas y concretas.
En un contexto donde la protección de datos es crucial para la protección de los datos personales.
El caso de las grabaciones de audio de los centros de llamadas italianos encontradas en línea no es un simple incidente técnico; Es una prueba de cómo las configuraciones incorrectas y la falta de controles básicos pueden convertirse en una amenaza concreta para empresas y ciudadanos.
Para las empresas, esto implica exponerse a multas, pérdida de confianza y daños a la reputación difíciles de recuperar. Para los ciudadanos, sin embargo, el riesgo es directo: fraude telefónico, robo de identidad, phishing selectivo e incluso el uso de la voz como datos biométricos para crear falsificaciones digitales.
Al contactar con Paragon Security, esta pone la información obtenida a disposición de las empresas de call center correspondientes.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...