Los expertos en seguridad han estado advirtiendo durante años sobre la tecnología peligrosamente insegura en el corazón de las comunicaciones globales. Ahora hay pruebas de que se ha utilizado para espiar a ciudadanos de Estados Unidos.
Kevin Briggs, funcionario de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., dijo a principios de este año a la Comisión Federal de Comunicaciones (FCC), un organismo regulador, que no sólo se habían producido «numerosos incidentes de intentos exitosos y no autorizados» de robar datos de ubicación y espiar mensajes de voz y de texto en Estados Unidos, pero también distribuir software espía (software que puede tomar el control de un teléfono) e influir en los votantes estadounidenses desde el extranjero a través de mensajes de texto. Estos comentarios fueron publicados recientemente por 404 Media, un sitio web especializado en temas tecnológicos.
Leer también
Los hacks están vinculados a un protocolo oscuro conocido como Signaling System 7 (SS7). Desarrollado en la década de 1970 para permitir a las empresas de telecomunicaciones intercambiar datos para establecer y gestionar llamadas, hoy SS7 tiene más usuarios que Internet. Cuando se introdujo, la seguridad no fue un problema importante porque sólo unos pocos operadores de telefonía fija podían acceder al sistema. Todo cambió en la era de los teléfonos móviles. SS7 y Diámetro, un protocolo más nuevo, ya son cruciales para una amplia gama de tareas, incluido el roaming. Según el Departamento de Seguridad Nacional de Estados Unidos, el SS7 constituye un riesgo especial porque hay “decenas de miles de puntos de entrada en todo el mundo, muchos de ellos controlados por estados que apoyan el terrorismo o el espionaje”.
Los expertos en seguridad saben desde hace más de 15 años que el protocolo es vulnerable en varios aspectos. En 2008, Tobias Engel, un investigador de seguridad, demostró que SS7 podía usarse para identificar la ubicación de un usuario. En 2014, investigadores alemanes fueron más allá y demostraron que también se podía aprovechar para escuchar llamadas o grabar y almacenar datos de voz y texto. Los atacantes podrían reenviarse los datos a sí mismos o, si estuvieran cerca del teléfono, apoderarse del dispositivo y decirle al sistema que proporcione la clave de descifrado. Las agencias de espionaje saben todo esto desde hace mucho más tiempo. Muchos lo han aprovechado.
Leer también
En abril de 2014, piratas informáticos rusos explotaron SS7 para localizar y espiar a figuras políticas ucranianas. En 2017, una empresa de telecomunicaciones alemana reconoció que los atacantes habían robado dinero de sus clientes interceptando códigos de autenticación enviados por SMS desde los bancos. En 2018, una empresa de inteligencia privada israelí utilizó un operador de telefonía móvil en el territorio británico de las Islas del Canal para obtener acceso a SS7 y, desde allí, a usuarios de todo el mundo. Se cree que esa ruta se utilizó para localizar a una princesa emiratí secuestrada por los Emiratos Árabes Unidos en 2018. Y en 2022, Cathal McDaid de ENEA, una empresa sueca de telecomunicaciones y ciberseguridad, reveló que los piratas informáticos rusos llevaban mucho tiempo localizando y escuchando a los disidentes rusos. en el extranjero por el mismo medio.
En 2014, piratas informáticos chinos robaron cantidades masivas de datos de la Oficina de Gestión de Personal, la agencia gubernamental que gestiona la administración pública federal de Estados Unidos. Los datos más sensibles eran los registros de autorizaciones de seguridad, con detalles muy personales sobre los funcionarios. Sin embargo, también fueron robados números de teléfono. Según documentos parcialmente desclasificados publicados por el Departamento de Seguridad Nacional, funcionarios estadounidenses detectaron en el verano de ese año “tráfico anómalo” que consideraron relacionado con la filtración.
Leer también
Los comentarios de Briggs a la FCC resaltan el alcance del problema del SS7. «En general», dijo, los incidentes que informó fueron «sólo la punta del enorme iceberg de las exitosas hazañas de seguimiento y monitoreo basadas en SS7 y Diámetro». Esto nos recuerda que, aunque las llamadas telefónicas y los SMS no cifrados se han vuelto menos frecuentes, la columna vertebral de las redes móviles sigue siendo muy insegura. Los operadores de redes móviles pueden bloquear algunos de estos ataques, pero la mayoría no han tomado las precauciones adecuadas, afirman los expertos.
Los usuarios de teléfonos pueden protegerse de las escuchas basadas en SS7 (pero no de la identificación de ubicación) mediante el uso de aplicaciones cifradas de extremo a extremo como WhatsApp, Signal o iMessage. Sin embargo, esas aplicaciones también pueden ser burladas por el software espía que se apodera del dispositivo y registra los movimientos en el teclado y la pantalla. En abril, Apple advirtió a los usuarios de 92 países que habían sido objeto de un «ataque de software espía mercenario». El 1 de mayo, Amnistía Internacional publicó un informe en el que alegaba que “un turbio ecosistema de proveedores, intermediarios y revendedores de vigilancia” de Israel, Grecia, Singapur y Malasia había puesto un potente software espía en manos de múltiples agencias estatales de Indonesia. . Esa es también la punta del iceberg.
Leer también
© 2024 El periódico The Economist Limited. Reservados todos los derechos
Traducción: Juan Gabriel López Guix