Un grave fallo de seguridad en redes móviles permite espiar y robar dinero desde 2008

Un grave fallo de seguridad en redes móviles permite espiar y robar dinero desde 2008

Alberto García

La seguridad a la hora de transferir nuestros datos en Internet es vital. Es por ello que un fallo en las redes móviles, que son consideradas más seguras que las WiFi al ir directamente desde el móvil a las antenas, provoca una gran inquietud. Sobre todo cuando este fallo se ha producido en un protocolo de red utilizado por más de 800 operadores a nivel mundial.

Un fallo en el protocolo SS7 permite saltarse la autenticación en dos pasos, espiar llamadas y robar dinero de bancos

En concreto, el fallo de seguridad se dio en el Sistema de señalización por canal común nº 7, o Signaling System 7 (SS7). Este sistema de transmisión de señal se utiliza para que las redes puedan operar entre sí de manera conjunta, haciendo posible, por ejemplo, que una persona pueda establecer y finalizar llamadas a personas de otros países, así como permitir que las llamadas no se corten cuando viajamos en coche o en tren.

Por desgracia, este conjunto de protocolos también puede usarse para espiar conversaciones, espiar la ubicación de los usuarios, o interceptar mensajes de texto. El pasado mes de enero, unos hackers aprovecharon una serie de vulnerabilidades en SS7 para evitar la autenticación en dos pasos vía SMS que muchos bancos utilizan para evitar el envío de dinero no autorizado.

Los hackers consiguieron redireccionar los SMS a números de teléfono de su propiedad. Para obtener las contraseñas, los atacantes utilizaron troyanos bancarios que infectaban los ordenadores de los dueños de las cuentas. Con la contraseña podían ver el balance de la cuenta. A partir de ahí, utilizaron los mTAN (números de autenticación de transacciones móviles) para sacar el dinero de las cuentas de los usuarios. Anteriormente, el mTAN se obtenía con duplicados de la SIM física. Con la vulnerabilidad de SS7, se puede hacer de manera remota y con muchos más móviles.

El único operador que ha confirmado los ataques ha sido O2 en Alemania, que afirmó que un atacante desde una red extranjera estuvo atacando cuentas bancarias en enero. El operador extranjero no identificado que se utilizó para el ataque fue rápidamente bloqueado, y los usuarios afectados notificados.

La vulnerabilidad es conocida desde 2008, y todavía nadie la ha arreglado

Lo más grave del asunto es que el abuso de SS7 se empezó a detectar en 2008, pero se hizo caso omiso. El Washington Post informó en 2014 que se podía explotar fácilmente la vulnerabilidad por parte de agencias de inteligencia y espionaje, así como hackers al margen de los gobiernos. De intentar empezar a arreglarlo ahora mismo, se tardarían años en garantizar que el sistema funciona de manera totalmente segura, dado el tamaño de las redes móviles a nivel mundial y la gran cantidad de operadores que las utilizan.

Los operadores a nivel mundial llevan ignorando este asunto durante muchos años, asegurando que es necesario un equipamiento muy caro para realizar estos ataques (probablemente dándole alas a las agencias de espionaje para espiar a placer).

De momento, los usuarios no podemos hacer nada para evitar el ataque a las cuentas bancarias. Para evitar que puedan espiar nuestros mensajes o llamadas, lo mejor es utilizar aplicaciones de mensajería cifradas como Telegram o Signal. De hecho, el propio sistema de verificación en dos pasos no es especialmente considerado como seguro, y el NIST dejó de recomendarlo para cuentas de correo electrónico y redes sociales por fallos de seguridad como el del SS7, entre otros.