25 febrero 2013

Obteniendo cuentas de Whatsapp y Line como churros

Hace unos dias Yago me comentaba que le interesaba el tema de la telefonía VoIP. Le compartí algunas cosas sobre el tema que le gustaron y a raíz de esa conversación sale este post.

Un poco de historia: el "phreaking"
Realmente el "phreaking" (término que viene de "phone freak", monstruo de la telefonía) tuvo su momento glorioso en el pasado, y quien sea mas bien "30 añero" recordará haber leído en los ezines de los años 90 aquellas historias del mítico Joe Engressia, que podía marcar números de teléfono sin tocar el teclado, silbando; o de John Draper, conocido como "Capitán Crunch" porque utilizaba la misma técnica que Engressia, pero ayudado por un silbato sacado de una caja de cereales. 

Hubo mucho más: se desarrollaron dispositivos muy variados, llamados todos ellos "boxes", y a los cuales se les asignaba un color en función de lo que hacian, hasta el punto en que fué posible manipular de mil y una formas las lineas telefónicas de la por aquel entonces hegemónica AT&T. 

Por ejemplo la bluebox, (la primera box que se conoció, basada en el silbato usado por Draper), permitía marcar los tonos internos de señalización de llamadas, de otro modo inaccesibles para los usuarios de un teclado telefónico normal. La black box impedía que se detectase el hecho de que se había descolgado el teléfono, burlando así los sistemas de facturación de la compañía, y la Yellow Box realizaba lo que hoy conoceríamos como un DoS contra otra línea telefónica, dejándola inoperativa.

Los tiempos de la telefonía analógica y sus "glitches" ya han pasado, pero con el nacimiento de la tecnología VoIP, que empieza a desdibujar la línea entre internet y telefonía, puede decirse que la cultura phreaker sigue hoy dia teniendo mucho que decir. De hecho ahora las posibilidades son mucho mas abstractas, pero mayores.

La autenticación, control y validación de usuarios con teléfonos es poco efectiva
Hoy dia muchos servicios validan sus cuentas y la identidad de sus usuarios a través de sms a sus móviles o de llamadas a fijos. De este modo buscan evitar la suplantación de identidad, el fraude o el abuso en general.

Voy a explicar cómo se puede utilizar la telefonía VoIP en combinación con otros servicios online para ultrapasar esos métodos, creando cuentas anónimas que podemos usar como "decoy" sin tener que poner nuestro teléfono real, y sin perder la posibilidad de recibir llamadas o sms a estos números, para así poderlos usar como "verificadores" de nuestra identidad (¡ja!)

Por si alguien no lo ha notado, esto reabre la posibilidad (que algunos creen perdida) de crear cuentas como churros en servicios como Whatsapp y Line. Pero si se abre la mente, las posibilidades son algo más amplias. 


Antes de pasar a la receta, debemos conocer los ingredientes.

Cuenta SIP
SIP es la tecnología de VoIP más utilizada en todo el mundo, y es el estandar de facto con el cual son compatibles la mayoría de softwares y dispositivos. Una cuenta sip es el conjunto de credenciales que tiene un usuario dentro de la red. Con ellas, puede utilizar cualquier software de conexión VoIP (o routers y teléfonos físicos compatibles VoIP) para conectarse a la red y "registrar" su número. Por registrar se entiende al hecho de iniciar sesión en la cuenta VoIP y decir "aquí estoy yo, y quiero recibir las llamadas entrantes de esta cuenta".
Es interesante notar que varios clientes y dispositivos pueden usar la misma cuenta VoIP a la vez para realizar llamadas simultáneamente, pero solo uno puede "registrar" la linea para recibir las llamadas de otras personas. El comportamiento es similar al mapeo de puertos de un router.
Si el proveedor de la cuenta VoIP no tiene constancia de ningun cliente sip "registrado" en la cuenta en ese momento, puede enviar al llamante a un buzón de voz, simplemente informarle y colgar, o darle tonos falsos de llamada hasta que se aburra, con el fin enmascarar esta situación. 

Cliente SIP
Se entiende por cliente sip cualquier dispositivo físico o sofware capaz de gestionar una cuenta sip: iniciar sesion, hacer y recibir llamadas, etc. El protocolo sip contempla todo lo que se espera de una llamada telefónica tradicional. De hecho, si usamos un teléfono android como cliente sip para recibir y enviar nuestras llamadas, la diferencia entre las llamadas tradicionales y las llamadas VoIP es totalmente imperceptible y, manejado de forma transparente por el terminal y el sistema operativo, podremos poner la llamada en espera, enviar tonos, colgar, hacer conferencias, y todo lo que siempre hemos hecho en telefonía tradicional.


Número DID
Algunos proveedores SIP ofrecen como servicio adicional números DID (Direct Inward Dialing, llamada entrante directa). En terminología VoIP, esto quiere decir que el número no es para usarlo dentro de la red VoIP, sino que en realidad es una pasarela, una número físico real capaz de recibir llamadas de la red telefónica conmutada (la red de telefonia de toda la vida), ya que está físicamente conectado a ella. El proveedor de una linea DID se compromete a desviar las llamadas entrantes desde ese número hacia una cuenta SIP, uniendo el mundo digital y el mundo físico de una forma totalmete automática, sin que el llamante pueda advertirlo.

Google Voice
Aunque no es estrictamente una cuenta del estándar abierto SIP, google tiene su propio servicio de VoIP y es muy interesante. Te ofrece la posibilidad de tener un número DID gratis que realiza incluso más funciones que un teléfono físico real. Es una mezcla interesante entre un teléfono, y un pequeño PBX (coloquialmente llamados "centralitas" en España). No solo se puede desviar la llamada al cliente por software que ofrece la compañia y que se integra en gmail, sino que puedes desviarlo a otros números físicos de la red telefónica conmutada. Incluso puede desviar la llamada a varios teléfonos a la vez, y el primero que descuelga, se la queda.
Si nadie contesta, puede tomar un mensaje de voz que te hace llegar por correo electrónico junto a un reproductor de audio incrustado, o mediante un aviso al movil si tienes la aplicación google voice instalada.
A pesar de que el número es de una linea terrestre, si te envian uns sms al número DID google es capaz de recepcionarlo correctamente y presentarlo en la bandeja de entrada de google voice (esto es muy interesante... ¿lo veis venir?)
Pero... las funciones de google voice realicionadas con DID sólo funcionan en estados unidos y para la gente y las redes de allí. No porque Google no quiera, sino porque depende de redes de telefonía con las que debe realizar acuerdos que de momento no ha formalizado. Debido a estas limitaciones infraestructurales, google voice no puede desviar las llamadas a otros números que estén fuera de la red estadounidense, motivo por el cual te exigen que certifiques que eres el titular de un número de teléfono de alli. De hecho, google voice esconde todas estas opciones cuando detecta que conectas desde fuera de Estados Unidos, para evitar ofrecerte servicios que luego no puede darte realmente.

Callcentrinc
Callcentric es un popular proveedor SIP de USA, que se caracteriza porque además de ofrecerte tu "free sip account" como hacen muchos otros, ofrecen un "free phone number", que no es otra cosa que un número DID gratis para vincularlo a tu cuenta sip.
Es decir, tú les das un email, y ellos te dan un número de teléfono válido en USA...

¿Empezáis a ver cómo se podrian combinar estos ingredientes de forma creativa para realizar un pequeño hack sobre los sistemas de cuentas de aplicaciones como Whatsapp o Line?

Ahora que ya conocemos un poco mejor estos ingredientes, pasamos a...

La receta
Supongamos que quiero tener una cuenta de whatsapp válida para mi emulador android instalado en el PC. De este modo podré estar más cómodo chateando por el PC cuando lo tenga disponible. Pero no puedo registrar mi número de movil en dos terminales, asi que necesito un número nuevo.
En este caso, yo recomendaria el uso de un numero alternativo virtual de FonYou, tan utilizado y socorrido entre pequeños profesionales para separar vida personal y profesional cómodamente, pero quizás quiera crear no solo una segunda cuenta, sino más. Quizás soy un developer que necesita probar su nueva aplicación hecha sobre whatsapi utilizando 20 cuentas válidas de whatsapp, o simplemente soy un triste spammer que quiere usar las API's de whatsapp disponibles para enviar mensajes masivos anunciando mi sitio web o el de terceros que me pagan por ello.

¿Puedo usar un numero inventado? 
No, porque cuando whatsapp envie un código de validación a ese número por SMS o llamada, yo tendré que introducir dicho código en el software para demostrar que soy el titular. Así pues, el número tiene que ser realmente mio, en el sentido de que yo tengo que tener el control sobre él para recibir ese SMS. Hasta aqui el sistema funciona según lo que se espera de él.

¿Qué servicio hemos dicho que tenia la capacidad de recibir SMS? 
Google voice. Con el simple hecho de registrar una cuenta de google, tenemos acceso a un número de teléfono capaz de recibir SMS. Por lo tanto, ya sabemos lo que queremos: queremos crear una cuenta en google voice.

Ahora que ya sé lo que necesito, ¿qué obstáculos debo sortear para obtenerlo?
Como he dicho antes, google voice exige que conectes desde USA y que ya tengas un numero de teléfono "real" de USA. Por "real" quiero decir que está en la red telefónica conmutada tradicional, y que está geográficamente ubicado en USA.
Sabemos que la limtación geográfica a la hora de conectar a la web y fingir estar en USA se resuelve conectando a través de cualquiera de los proxys estadounidenses que aparecen constantemente en listas como esta, así que fingir la ubicación no será un problema.
Enfoquémonos por tanto en el problema menos conocido: tenemos que hacernos con un numero "real" de Estados Unidos para hacerle creer a Google Voice que estamos físicamente allí y nos deje activar sus servicios.

¿Quién hemos dicho que ofrecía un número "real" de USA con simplemente registrarse?
Callcentric. Si nos registramos en su web, obtenemos inmediatamente una cuenta SIP con su usuario y su contraseña.
El usuario es un numero con el formato 1777xxxxxxx, pero que nadie se confunda; aunque a ojos de un despistado parece un numero válido de USA con el prefjo internacional +1 delante, no lo es. Es solo un número VoIP. De hecho el area code 777 es muy WTF! porque no existe semejante cosa en la numeración conmutada estadounidense. El estado de Nevada lo quiso reclamar para asignarlo a los teléfonos de Las Vegas, por aquello del 777 en las tragaperras (LOL), pero se lo denegaron.

Una vez nos hayamos registrado en callcentric no habremos acabado con ellos, porque aún tenemos que solicitar el "free phone number", que es para lo que hemos venido aqui. Por tanto, nos aseguramos de tener nuestra recien creada sesión iniciada en la web y nos dirigimos a la sección "All Services" para buscar el servicio "Free Phone Number" y pulsar el botón Get a Number.
En la columna de la izquierda, ponemos esto (de hecho no hay mucho que cambiar)


En state, de momento solo ofrecen NY, cosa que nos da igual. El area code y el rate center los podeis elegir al azar. Tras pulsar "Lookup", el sistema nos dará un puñado de sugerencias tal que así:


Pulsamos "Order Now" para cualquiera de las opciones sugeridas. Respondemos NO a la pregunta "are you using the service within the US?" (es importante responder que NO). Seguimos el proceso, que es tratado por callcentric casi como si fuera un proceso de compra, pero tranquilos que no pedirán tarjeta 8-)
Seguid el asistente hasta pulsar el botón "checkout". Y con esto ya tendremos un número real de la red telefónica conmutada de USA. Nos llegará un email a modo de factura donde se indicará nuestro nuevo número de teléfono (en esta imagen, 1929223xxxx):


y de todos modos tambien será claramente visible en las preferences y en el dashboard de callcentric consultando el "caller ID to send" (en esta imagen, 1646xxxxxxx):

Veréis los números escritos de varias formas, con paréntesis, con guiones... explicaros el NANP aquí queda fuera del objetivo de estas líneas, pero debéis saberlo para no dudar durante el proceso: para el caso que nos ocupa, "19296969101" es lo mismo que "+1 (929) 6969-101"

Vale, pero ahora ¿cómo lo uso?
Fácil. Ya hemos dicho que un número DID es una extensión en el mundo real de una cuenta SIP en el mundo digital. Si alguien llama al numero DID, estará llamando a la cuenta SIP. Entonces lo único que tenemos que hacer es preparar nuestro PC/tablet/smartphone para convertirse en un cliente SIP capaz de recibir las llamadas entrantes de la cuenta SIP. Del resto, se encarga nuestro proveedor SIP.

Para hacer esto desde el PC, yo os voy a recomendar Linphone porque su hogar y ambiente naturales son el opensource y GNU/Linux, aunque es multiplataforma y tambien está disponible en Windows. Tambien podéis informaros sobre ekiga, aunque este me ha respondido un poco peor frente a problemas de conexión a la hora de registrar las cuentas SIP desde algunos sitios donde el mapeo de puertos no es una posibilidad.
En los terminales Android tambien teneis SIPDroid o el mismo cliente integrado en el sistema operativo (versiones más recientes de Android), que gestiona las llamadas SIP de forma transparente una vez configurado.

La confguración de los clientes SIP se sale del alcance de este artículo, pero supongamos que vuestra cuenta SIP en callcentric es 17772231234 (siempre empiezan por 1777). En tal caso, la configuración de la cuenta en Linphone sería tal que así:


Al pulsar aceptar os pedirá el password de la cuenta y lo guardará para futuro uso. Con eso ya teneis un software capaz de recibir llamadas desde la línea de USA, directamente hasta vuestro PC, que además tiene una forma de utilizarse muy parecida a la del popular skype. Dejamos el cliente SIP registrado en el PC y esperando a recibir llamadas. Ahora que ya tenemos todo alineado, solo queda rematarlo...

Conectamos a voice.google.com utilizando un proxy estadounidense (debe aceptar SSL!) que habremos configurado antes en el navegador, asegurándonos de que cualquier posible sesión nuestra de google está cerrada. Podems usar otro navegador sin proxy en paralelo para conectar al resto de sitios web mencionados aquí, puesto que no filtran por región. Así navegaremos a mayor velocidad.

Registramos una nueva cuenta de google usando el botón "sign up" y rellenamos los datos como si estuviéramos en USA. Durante el registro, google nos pide un email alternativo válido y un número de teléfono. Aquí podemos dejar sin poner aún el teléfono (nos lo pedirá luego). Suponiendo que queremos mantener nuestra privacidad y anonimato al máximo, podemos usar un email temporal de servicios como nowmymail.com como dummy para verificar el registro en google. 

Seguid el proceso de registro hasta que os pida un número de teléfono:

Aquí podemos hacer una pausa (sin cerrar esta ventana) para irnos a visitar el enlace de confirmación que nos había enviado google al email que le indicamos.

Luego volvemos a la ventana "Verify your account" y escribimos nuestro numero DID, sin el 1 inicial, y asegurando que sale la bandera de USA en el selector de al lado. Tambien tendremos que cambiar el método de envio de códigos, de TEXT MESSAGE a VOICE CALL, ya que los números DID de callcentric pueden recibir llamadas pero no SMS.

Con esto, si todo va bien, estaremos a punto de recibir nuestra primera llamada VoIP desde nuestro número DID estadounidense. Al pulsar CONTINUE la pantalla del navegador cambiará a la imagen que vemos a abajo, y deberia comenzar a sonar nuestro softphone. Descolgamos y escuchamos con atención la grabación, porque nos va a decir dos veces y en un inglés pausado y claro el código de validación que tenemos que introducir en "Enter verification code":


La llamada finalizará sola cuando la locución acabe. Ponemos el verification code y pulsamos "Continue".
Llegados a este punto, ya hemos validado la cuenta de google con las dos credenciales que nos piden, un email y un teléfono, ambos pseudofalsos y creados para la ocasión para proteger nuestra identidad.

A partir de ahora comienza el proceso de configuración de google voice propiamente dicho.

Estaremos en una pantalla tal que así:


Lo que nos está pidiendo es un primer número al que desviar las llamadas recibidas en el número de google voice. Como hemos dicho antes, este número debe ser forzosamente de USA. De nuevo, pondremos nuestro número DID sin el 1 inicial y pulsaremos "continue". Eso hará que google genere un código de validación. Esta vez el código de validación es de solo dos digitos y viajará en el sentido inverso al anterior (de la web al teléfono), así que nos preparamos para atender a una llamada en nuestro softphone, en la que además tendremos que utilizar el teclado virtual durante la llamada para enviar los tonos pertinentes. Cuando estemos listos, pulsaremos el botón "Call me now".



Oiremos una breve locución que nos pide el código. Cuando se calle, lo pulsamos en el teclado de nuestro cliente SIP. Si estais usando Linphone, el aspecto del teclado será este:


En cuanto hayamos realizado el marcado del código de validación, usando pulsaciones bien prolongadas y firmes, oiremos de nuevo la locución confirmando que el número ha sido validado, al tiempo que veremos que la pantalla de nuestro navegador cambia automáticamente de nuevo:


Pulsamos "I want a new number" y aparece un cuadro donde podemos elegir números disponibles por código postal (filtro de la izquierda) y/o por conjuntos de números o letras que nos gusten (filtro de la derecha):


Partiendo de la premisa de que no sabemos códigos postales de USA ni tenemos interés en ninguno en particular, podemos jugar un poco con el filtro de palabras y números para ver qué sale...



Y cuando os canséis, elegid uno de entre las opciones y pulsad "Continue". Por ejemplo, yo al final elegí el (802) SBD-0250, o lo que es lo mismo, (802) 723-0250:


Ahora ya puedo registrar este número en Whatsapp y recoger el SMS tranquilamente en la bandeja de entrada de google voice, todo ello protegiendo mi identidad real y anonimato en todo momento:


Y ahora que ya tengo mi número DID en USA, puedo usarlo para crear y validar más cuentas de google. No todas las veces que quiera, puesto que google no permite usar mas de 3 o 4 veces el mismo teléfono para validar diferentes cuentas, pero por lo menos un par de veces mas lo puedo hacer. Y cuando google deje de aceptar este numero DID siempre puedo volver a crear otra cuenta de callcentric y empezar desde cero.

Conclusión

Lo que hemos practicado en este post es un principio de interacción entre productos y servicios, que al combinarse permiten crear una "distorsión" de sus modelos de seguridad. Dado que el uno no contaba con la presencia del otro, y uno proporciona de forma menos controlada credenciales que son válidas para el otro, se ablandan unos vectores de entrada que parecian mas duros observando estos productos y servicios por separado. 

Este tipo de problemas son complejos y su incidencia es difícil de evitar dados los modelos de seguridad y control de acceso digitales que se utilizan hoy día en la mayoría de sitios.

Lo mas curioso es que nadie ha cometido un error, no hay flaw alguno, no hay un vector real, por lo menos no un vector "de asalto". Callcentric tiene su estrategia y sus políticas, y no son incorrectas para su negocio. Google tampoco. Simplemente se ha realizado una combinación creativa de elementos obteniendo como resultado un pequeño hack.

Por norma general todas las empresas que ofrecen servicios online piensan, aunque sea un poco, en la seguridad de sus usuarios y en la autenticidad de sus identidades, pero no todos lo hacen de la misma manera. Cada servicio confía en un tipo de credencial mas que en otro, e incluso el modelo de negocio que practican y su estrategia de marketing tienen influencia en este tipo de medidas de seguridad. Si tenemos en cuenta que algunas de estas empresas proporcionan credenciales que sirven a su vez de credenciales válidas para otras empresas, se crean situaciones como esta, en la que google confía plenamente en los números de teléfono para controlar la identidad de los usuarios, pero compañías como callcentric, con un planteamiento diferente dado que su nicho está tremendamente competido y todos los proveedores SIP regalan números con su ancho de banda sobrante, ellos no son menos y regalan números válidos de USA a cambio de un simple email con la intención de captar clientes en otros servicios VoIP de pago, creando esta paradoja en la que el nivel de seguridad de google cae literalmente al mismo nivel de callcentric, que es bajo por diseño y por necesidades de su guión. 

Aunque en este caso es mas deliberado, tambien sucede lo mismo con nowmymail y otros proyectos similares que están rompiendo el paradigma del control de identidad asociado al email. Dado que muchos servicios online consideran al email como el mejor (o el único) medio para validar y autenticar la identidad de los usuarios, el hecho de que aparezcan empresas que ofrecen emails temporales válidos que duran 5 minutos para facilitarte el registro en un servicio y luego autodestruirse, convierten el control de registro por email en algo inutil mucho menos útil para estos servicios, rompiendo la extensa infraestructura de suposiciones en las que se han basado muchos de ellos y reabriendo el debate sobre la privacidad y el control de acceso de los usuarios online.

Google ya habla de aportar soluciones por hardware a modo de llaves que garanticen totalmente la identidad y privacidad del usuario, aunque esto tambien plantearía otros problemas. Pero google acostumbra a traer buenas ideas y puede que resuelvan estos problemas con su habitual ingenio.

La cuestión es que ahora no tenemos mas límite que nuestra paciencia para crear tantas cuentas válidas  en Whatsapp/Line y derivados como queramos. Y como he dicho al principio, esto es solo la punta del iceberg. Siendo capaces de recoger llamadas, enviar tonos DMTF durante la llamada, y recoger SMS,  podríamos burlar mecanismos de comprobación de identidad y de posición geográfica de varios servicios online, todo mientras mantenemos un total anonimato. 

Y hablando de anonimato, esto siempre lleva una doble moral consigo: el anonimato como individuos nos proteje y nos hace sentir mas seguros, pero el anonimato de todos los demás como masa a la hora de usar productos servicios y herramientas de todo tipo nos parece un peligro y problema potencial...

Artículo cortesía de Alejandro Amo

61 comments :

Nombre dijo...

Yo para usar la cuenta de Callcentric en mi PC (Windows) utilizo el software que da callcentric, softphone, es mas fácil de configurar, solo pide el login de callcentric.http://www.callcentric.com/support/device/callcentric


Un saludo!

npc dijo...

Recepcionar, ese gran verbo

tricomax dijo...

Bueno está claro que no van a pedirte una fotocopia del dni para abrirte una cuenta de un servicio de mierda de estos....faltaría más...yo soy capaz de hacer cuentas como churros en facebook o en google+ y en muchos sitios más....sin hacer virguerías...en definitiva, me parece que buscas ser viral intentando llamar la atención sobre tú artículo como si fuera un hack de whatsapp y de Line, cuando en realidad es un artículo de como tener una cuenta telefónica anónima en google voice.

capde dijo...

@tricomax:disqus no puedes comparar el crear una cuenta en facebook o google+ que hasta un mono sería capaz de crear una, con el crear una cuenta de Whatsapp o Line, que requiere aplicar un mínimo de esfuerzo/tiempo (podemos descartar a gran parte de los monos y a otras muchas personas también).
Por mi parte en el momento que, alguien puede aprovechar esto para inundar mi teléfono de anuncios de rusas o de viagras a buen precio considero el articulo un hack de whatsapp y Line.


Por otra parte felicitar a @AlejandoAmo por el articulo.

Saludos

Julian dijo...

Hay 500 servicios que te permiten tener un número movil gratis para validar whatsapp. Hay que buscarlos simplemente, hay más idiomas que el español e inglés ;)

Ácas. dijo...

Otro gran artículo de Alejandro Amo. Estoy seguro que la mitad de los que te han criticado mal no tienen ni idea de lo que es SIP.

PD: Muchas gracias por la web de callcentric... Estaba buscando una del estilo desde hace tiempo! :)

Edinco dijo...

Si no eres capaz de entender la parte técnica del post y la gran cantidad de información que se da, probablemente es porque no has entendido nada. Aun así, este es un país libre y puedes opinar lo que te de la gana. Ya puestos en el próximo comentario nos haces una disertación sobre economía, futbol o lo que te de la gana. Hale majete

DriLLer dijo...

Hay que ser un poco bobo para comentar eso de todo el post.

Alejandro Amo dijo...

ciertamente discutimos un poco el hech de usar whatsapp y line como coyuntura, porque este concepto es mas amplio, tal y como digo en el post repetidas veces.
pero tambien conozco a la audiencia, y sé para que quieren estas cosas.
no tienes mas que comprobar el resto de comentarios de otros lectores.
el post ha sido escrito pensando en ellos.
saludos.

Alejandro Amo dijo...

gracias majo! y siento andar perdido, pero business son business!
intentaré ir aportando alguna cosita de vez en cuando!
Saludos!

Alejandro Amo dijo...

personalmente trato con esta gente por negocios. ellos me dan la infraestructura que necesito para comunicarme con USA de una forma cómoda para mis clientes allí.
solo puedo aportar lo que lo que yo personalmente conozco, pero me interesan tus reflexiones, y seguramente a la audiencia tambien.
sé tan amable de compartir esas alternativas, no dejes tu comentario a medias :)
saludos

Alejandro Amo dijo...

gracias! obviamente comparto tu punto de vista y agradezco que te sumes a él. todo es relativo, y creo que he sido suficientemente explicito en el artículo.
un simple silbato tambien era un simple silbato hasta que se convirtió en una poderosa bluebox... precisamente el hacking es eso mismo, soluciones creativas, usando elementos ordinarios, para resolver problemas complejos de forma extraordinaria.
saludos

Alejandro Amo dijo...

Supongo que quieres decir que, en contexto de llamadas y sms, deberia haber usado el verbo recepcionar en lugar de recibir?
Pues quizas sí.
Imagino que el staff de SbD leerá este comentario y si lo cree conveniente lo cambiará. Yo no puedo hacer modificaciones una vez enviado.
Saludos

Alejandro Amo dijo...

Me expongo a bastantes influencias linguísticas entre LATAM, USA, UK, España... y a veces mezclo peligrosamente de acá para allá "y se arma un quilombo marca cañón" :D
Podéis hacer de talibanes ortográficos conmigo todo lo que queráis porque me va de perlas; así me ayudáis a mantener a tono mi español de España.

Alejandro Amo dijo...

ouch!
este tipo de cosas tan básicas se me quedan en el tintero por no ser usuario habitual de windows!
lo siento mucho!

Alejandro Amo dijo...

no! futbol no, por favorrrrrrrrrr!
jajajajajaja!
gracias por aportar otro punto de vista, me alegra que el articulo sea de tu agrado y utilidad.
saludos

Melvin Salas dijo...

Hola Julián, nunca había oido hablar de esos servicios ¿Cuáles conoces?

Melvin Salas dijo...

Gracias por el dato

Melvin Salas dijo...

Muchas gracias @twitter-163960955:disqus! Me encantan estas explicaciones tan claras y de como personas como tu se toman el tiempo de redactarlas de una forma tan entendible.
Ciertamente se entiende la conclusión del artículo y de como en la red no existen métodos seguros de validación de identidad, gobiernos como el mi país tienen proyecto de ley en el gabinete en dónde se pretende acabar con el anonimato en la red, pero cuestiones como éstas acaban invalidándolas porque no existe forma de escabullirse de estos portillos que permiten lo impensable.

dolphin dijo...

Hola, Fonyou es uno de ellos, no está pensado ni hecho para usar con WhatsApp pero puede hacerse perfectamente. En mi blog tengo publicado un artículo sobre cómo hacerlo, pero no quiero publicar SPAM.
Muy útil el artículo Alejandro, gracias por compartir la información.
Saludos

Diego Gamboa dijo...

Otro articulo muy educativo e informativo, gracias @twitter-163960955:disqus

Y sobre los que creen que al entrar a SBD, encontraran un código de malware para hackear la NASA, pos que ingenuos. Claramente se hablo de lo ineficiente que es la validación con números telefónicos y sms

dario90 dijo...

Hay un problema, en Argentian toadvia no hay ninguna empresa que de numeros alternativo virtuales como FonYou... =(

Alejandro Amo dijo...

hola!
si te vuelves a leer el artículo con detenimiento, verás que solo comento lo de fonyou como una alternativa, pero el articulo explica justamente la alternativa válida universal, que es utilizar una cuenta voip de callcentric.
asi pues, que fonyou no te dé acceso en argentina es irrelevante para el propósito del articulo. puedes seguir el proceso de todos modos.
saludos

Alejandro Amo dijo...

gracias mil, Diego!
un abrazo

Alejandro Amo dijo...

gracias Melvin!
si que me pasé tiempo, pero el truco está en que la mayor parte de la investigación y desarrollo las hago en contexto profesional, tratando de estudiar y aprender para dar servicio y asesorar a mis clientes. luego el tema de escribirlo todo en limpio y compartir lo aprendido es un ratito.
saludos

Alejandro Amo dijo...

Sí, y ciertamente cuando no se quieren hacer cosas extrañas yo siempre recomiendo el uso de Fonyou, tal y como he mencionado en mi artículo. Buenísimo el servicio, la aplicación, y los planes de percios que tienen para llamar gratis a muchos paises.

Sin embargo, esto solo sirve para tener UN numero alternativo , en una empresa que ademas conocerá tu nombre y tu DNI (fonyou valida estos datos).

Para una mayor conservación del anonimato y para creación masiva de cuentas, sería mas adecuado usar callcentric+google voice+proxy

Alejandro Amo dijo...

parece que nos quedaremos con las ganas de saber! ains... :)

dolphin dijo...

La verdad no se por qué no leí lo de Fonyou en tu artículo xDD. Sí, tienes toda la razón.

Si quieres múltiples cuentas y "anónimas" mejor usar tu combinación.
Saludos

tricomax dijo...

Siempre sale un comepelotillas eh!!!...hay que ver!!!...pues venga !!!...que aprovechen!!!

tricomax dijo...

A no?...y...acaso no se puede validar una cuenta de LINE con una cuenta de facebook?...mira te pongo otro "hack" para cuentas line como churros...te haces cuentas facebook como churros, desde un móvil o tablet te instalas lines como churros y los vinculas a las cuentas churreras..este "hack" también lo hace un mono no?

Alejandro Amo dijo...

siempre sale un troll, diria yo :)
a que vienes de meneame y no eres lector habitual de este blog ni entiendes de qué se trata aquí?
todos cortados con patrones parecidos...
haters gonna hate!

Alejandro Amo dijo...

prueba lo que dices y nos cuentas que tal te fué :)

tricomax dijo...

Te equivocas en todo, ni soy de menéame ni lo leo, se perfectamente de que va este blog ...soy lector de hace mucho. He hecho una crítica totalmente constructiva, porque me insultes delante de los que te dan palmaditas en la espalda no vas a parecer más inteligente, al contrario te defines más a ti que a mi mismo, no me conoces de nada, deberías tratarme con respeto, si es que tienes educación.

Alejandro Amo dijo...

ah, calla! perdona, ya se de donde eres :)

Nacho Santos Gaudioso dijo...

Sin lugar a dudas, felicitarte por el artículo. Lo demás, te hace perder el tiempo a ti y a tus lectores.

L K dijo...

Hola Alejandro, a pesar de haber introducido correctamente el código de verificación en google voice me sale una ventana en español que dice "Cómo empezar" me dice que acepte las condiciones, le doy pero siempre me pone que se ha producido un error al verificar la solicitud.


¿Se te ocurre que puede ser?

Alejandro Amo dijo...

gracias mil!
lo tendré en cuenta. "dont feed the troll", dicen! :)
saludos

Sebastian Gérard dijo...

El artículo está buenísimo!! Hay algún Free Web Proxy que acepte SSL y también JavaScript, que me recomiendes??

Airle dijo...

Gracias!

Sebastian Gérard dijo...

Comentarte Alejandro que no se necesita el google voice, como el linphone recibe llamadas, puedes hacer que el servicio de envio de sms de what'sapp falle y que te de una llamada indicándote el código de acceso.... Saludos

Alejandro Amo dijo...

sí, gracias por señalarme esto , que olvidé incluir en el post.
el tema es que la práctica esta orientada a "poder recibir sms" ya que muchos otros servicios necesitan enviarte sms. lo que pasa es que en el contexto elegido para el ejemplo, que es whatsapp, la opcion de la llamada existe. gracias por señalarlo!

Alejandro Amo dijo...

lamentablemente esos proxys, o son de pago o no duran muchas horas con vida. solo las listas de búsqueda e indización de proxys que encontrarás en google podrán ayudarte cada dia, teniendo que consultarlas constantemente.
Saludos

Alejandro Amo dijo...

Sinceramente? De memoria, y sin haber presenciado todo el flujo de trabajo y las opciones que has ido tomando paso a paso, no se donde te puedes haber colado, suponiendo siquiera que te hayas colado!
Quien sabe si es un problema del proxy elegido, y no tuyo? asegúrate de que estas usando SSL!

teraflop dijo...

funciona expectacular, un saludo.

pfffffff dijo...

trooooooollllll

teraflop dijo...

a mi con linphone no me conectaba con callcentric para el registro. con xlite funciona perfecto

Franco dijo...

Una pregunta, una vez generada la cuenta de whatsup, al usarla en un dispositivo android x ejemplo, tendria que eliminar la cuanta actual xq la primera vez q usas whatsup no te pide usuario ni nada, directamente se registra con tu numero de telefono (el que esta activo en el telefono) y a lo sumo le podes poner un nombre y una foto a tu usuario. Suponiendo que al eliminar esa cuanta me da la posibilidad de loguearme con otra, luego tengo que vincular mis contactos q me tienen con mi numero real, como funciona eso? y otra cosa si yo quiero que un contacto nuevo me ingrese le puedo dar el numero de google voice pese a no estar configurado en el telefono o la tengo que dar el verdadero, xq si es asi no serviria de mucho el anonimato ya que whatsup en algun momento vinculara a ese usuario supuestamente anonimo con mi numero real para que pueda funcionar, o no es asi? Si estoy diciendo una burrada perdon pero son la dudas que tengo, saludos.

VDIAS dijo...

Actualmente este truco no funciona... yo por lo menos no puedo usar mi numero google voice con whatsapp... Whatsapp no lo reconoce como numero USA valido...

Nicolas Picolli dijo...

Hola, hice todo el procedimiento y tengo mi numero de google voice, el problema es que cuando quiero autenticar whatsapp me dice que el numero no es valido, lo estoy haciendo desde una blackberry tiene algo que ver? espero su respuesta. saludos

Juan Cruz dijo...

Alejandro no logro hacer que el telefono funcione, no me llegan las llamadas. no conoces otro programa y como configurarlo?
yo use el express talk, pero era version trial, y funionaba de 10, pero ahora no :( ........ necesito tu ayudaa pleasee!. te propongo un negocio, tu recibes un msj que necesito para activar una cuenta y yo te lo pago en dolares por paypal (te doy 3 usd) .. me ayudarias muchoo!

Visitante dijo...

Hombre, es verdad que no es lo más relevante, pero también es verdad que lo cortés no quita lo valiente, y que acabar escribiendo como "panchitos" no creo que beneficie a nadie.


Salud.

Visitante dijo...

En realidad no es ciert oque Fonyou valide los datos. Yo me saqué una cuenta hace más de un año con datos completamente absurdos y NIF generado en una web con aplicacioncitas diversas. Lo único real que sí tuve que dar fue mi número de teléfono.

Por aquel entonces no lo conocía, pero me pregunto si por ejemplo con un número Yuilop podría sacar una cuenta Fonyou sin que éstos supiesen mi número real. Un día de estos probaré.

En todo caso tu método sigue siendo el más privado, aunque es engorroso de cojines...

Salud

blablabli dijo...

Alejandro, gracias por tu articulo, hace meses que buscaba una solucion como la que nos enseñas.

Pero tengo un problema, uso una web que pide verificacion y NO acepta cuentas en USA, asi qiue google voice no me vale. ¿existe algun sustitutivo de G.Voice de otro pais?

Gracias ^_^

Alister (ITEA SEC) dijo...

Hola

Con cariño, de parte del equipo de CM de ITEA, la compañia de Alejandro, y en su nombre ya que él está aislado trabajando en otros proyectos, te queremos hacer notar:

¡Podrias haber defendido la corrección de estilo sin faltar al respeto a otras formas de estilo!

Está claro que hay que evitar la mezcla de influencias para que las personas se puedan entender, pero el hecho de que en paises latinos el lenguaje haya evolucionado de forma diferente es una cosa respetable, y no se puede castigar a nadie por estar constantemente expuesto a diferentes influencias de idioma. Nosotros atendemos a clientes de américa latina, reino unido, estados unidos y españa, y tratamos que todos los interlocutores se sientan cómodos hablando con nosotros, por eso tratamos de mimetizar su estilo, pero no es algo fácil, haz la prueba.

Gracias por tu comprensión

Alister (ITEA SEC) dijo...

De parte del equipo de CM de ITEA, la compañia de Alejandro, y en su nombre ya que él está aislado trabajando en otros proyectos, te comentamos:
Prueba FONYOU, en caso de que tengas un numero de telefono español, podrás obtener un segundo numero de telefono tambien español que empezará por 688
Para otros paises, lo desconocemos, ya que en reino unido, USA y Canada trabajamos con numeros de tipo "DID" sobre VoIP, que son numeros fijos y por tanto no se pueden usar en whatsapp. Solo USA tiene la peculiaridad de no distinguir fijos de moviles en su numeración.

blablabli dijo...

Hola, se me olvido decir que necesitaba crear cuentas "masivas" (2 o 3 por semana) ¿sigue sirviendo fonyou? osea, lo tendria que vincular a google voice ¿verdad?


Perdona por hacer tantas preguntas. Gracias

Alister (ITEA SEC) dijo...

Nos tememos que te tocará pasar por otra solución ya que fonyou asocia un numero virtual con uno real, y hasta ahí puedes llegar.
Saludos

Bradley speck dijo...

HACK ATM Y HAZTE RICO HOY !!!!

Hola a todos. Hay una nueva forma de hacer dinero, aunque es ilegal, sino también una forma inteligente y fácil de vivir en grande. Yo solía ser una chica cuartel hasta que me convertí ansiosos y decidí cambiar mi vida de una manera u otra. Tengo oportunidad de registrarse para la amnistía militante a través de conexión teniendo así me fuera del país para la formación en los Estados Unidos por un período de 3 años. Para cortar el cuento, durante mi entrenamiento que hice algunos amigos blancos que eran los geeks y también expertos en ATM reparaciones, programación y ejecución que me enseñaron varios consejos y trucos acerca de irrumpir en un cajero automático. con mi conocimiento obtenido de mis amigos blancos friki, he sido capaz de falsificar y el programa de una tarjeta de cajero automático en blanco utilizando diversas herramientas y software de. Tengo tarjetas de cajero automático ya hechas programado o si quieres aprender Usted también es libre de ponerse en contacto conmigo .. soy sólo el 29, mi familia se encuentran en EE.UU. y no tengo dinero, tengo un coche, yo vivo en la India y me viajar En todo el mundo. hago mis cosas en un bajo perfil # para evitar sospechas. Algunos de ustedes se preguntarán por qué estoy vendiendo esto si de verdad yo ya estoy viviendo grandes. Es porque es tarea difícil hacerlo usted mismo, no voy a mentir a usted, no es fácil de hackear ATM hablar más de la reprogramación de la tarjeta solo. Lleva días ya veces semanas. Algunos de ustedes querrán la tarjeta hecha lista para evitar el estrés de hacerlo usted mismo y no dar la tarjeta confeccionada de forma gratuita, ya que me pasé días intentando hacer que esté disponible para usted. e-mail me. janeashley333@gmail.com para obtener más información, petición de la ATM, explicación y consultas. NOTA: la tarjeta de cajero automático no tiene polos, sin número de la cuenta registrada. No tiene ningún límite para la retirada y que es imposible de encontrar. Usted puede recoger el dinero de cualquier cuenta con tan sólo escribir las personas número de cuenta de e-mail me. janeashley333@gmail.com

John White Jnr dijo...

Hola amigo, quiero compartir mi testimonio de cómo conseguí mi tarjeta ATM vírgenes que hayan cambiar mi vida hoy. i una vez que estaba viviendo en la calle, donde por las cosas eran tan difícil para mí, incluso para pagar mis cuentas fue muy difícil para mí tengo que aparcar fuera de mi apartamento y empezar a dormir en la calle de Las Vegas. He intentado todo lo que podía hacer para conseguir un trabajo, pero todo fue en vano porque yo estaba del lado negro de América. así que decidí navegar a través de mi teléfono para trabajos en línea donde me dieron un anuncio en Hackers publicidad de una tarjeta de cajero automático en blanco que se puede utilizar para cortar cualquier máquina ATM en todo el mundo, nunca pensé que esto podría ser real porque la mayoría anuncio en el Internet se basa en el fraude, así que decidí darle una oportunidad y ver a dónde me llevará a si se puede cambiar mi vida para siempre. me puse en contacto esta hackers y me dijeron que son de Australia y también tienen sucursales en todo el mundo en el que se utilizan en el desarrollo de ATM no CARDS, esto es real y no una estafa que tiene me ayude. para cortar el cuento esto hombres que eran los geeks y también expertos en ATM reparaciones, programación y ejecución que me enseñaron varios consejos y trucos acerca de irrumpir en un cajero automático con una card.i ATM Blank solicitado la tarjeta de cajero automático en blanco y fue entregado a mí dentro de 3 días y lo hice como me dijeron que y hoy mi vida tener el cambio de una calle andador a mi casa, no hay cajeros automáticos que esta tarjeta ATM eN BLANCO no puede penetrar en él, ya que se han programado con varias herramientas y software antes de que sea enviado a usted. mi vida realmente han cambiar y quiero compartir esto con el mundo, sé que esto es ilegal, sino también una forma inteligente de gran salón, porque el gobierno no nos puede ayudar, así que tenemos que ayudar a nuestro auto. si usted también quiere esta tarjeta ATM BLANCO quiero que usted ponerse en contacto con el correo electrónico Hackers en MOYESANDRE@gmail.com y la vida nunca se quedará el mismo correo electrónico MOYESANDRE@gmail.com

daniela dijo...

yo quiero saber 7 codigo para poner

ani dijo...

Hola es un buen post para los q no sabemos mucho de internet
Yo e bajado line y libon con numeros falsos en un mismo celular como 50 veces en cada uno
Quisiera saber si es ilegal y me pueden multar por eso
Los e usado para hacer llamadas internacionales vivo en estados unidos
Les agradezco me contesten pronto
Gracias