Cuando pensábamos que los SMS habían pasado a segundo plano, nos enteramos de que podrían ser utilizados de una manera peligrosa para descubrir tu ubicación. ¿Qué es lo que se acaba de descubrir y qué deberías saber sobre ello? ¿Nos estamos poniendo en peligro cuando recibimos un mensaje de SMS?
Una investigación que han llevado a cabo especialistas universitarios ha descubierto un nuevo tipo de ataque a través del móvil al que han denominado Freaky Leaky SMS. Tal y como te explicaremos a continuación, la base de esta amenaza se encuentra en que, con el envío de uno de estos mensajes, el receptor podría estar dando a conocer la ubicación en la que se encuentra.
Un ataque muy preciso
Para comenzar, toma nota de un dato preocupante antes de que empecemos a explicártelo todo. Las pruebas que ha realizado el equipo de expertos dan como resultado una precisión del 96% en envío de SMS entre personas que están en un país distinto y de un 86% entre dos que están en el mismo. Se trata de unos datos, por lo tanto, suficientemente preocupantes como para que este sea un sistema que esperemos que no caiga en malas manos.
Los autores de la investigación son Evangelos Bitsikas, Christina Pöpper, Theodor Schnitzler y Aanjhan Ranganathan, que, de manera involuntaria, podrían haber dado a los hackers un nuevo método de ataque gracias a este estudio recientemente publicado.
Así funciona el sistema
El atacante tiene que hacer una serie de operaciones previas que derivan en que no sea tan fácil usar este sistema. Así, lo primero que debe tener en cuenta es tratar de conocer la localización, a grandes rasgos, de su víctima. Eso facilita que la posible detección de la ubicación del móvil receptor sea más sencilla. Por ejemplo, para el atacante será valioso saber el país en el que se encuentra su víctima.
El envío se realiza teniendo en cuenta las características del SMSC, el centro de servicio de mensajería corta que se ocupa de la transmisión de los SMS. Este servicio gestiona el envío, la recepción y registra cualquier tipo de incidencia que se pueda producir en el mensaje, como si este no se ha recibido y ha fallado en el proceso. Teniendo esto en cuenta, lo que hace el atacante es proceder al envío de varios SMS y cruzar los datos que se van generando a continuación. Por lo general, si recibieras seguidos varios mensajes, es posible que no te llegases a plantear que estás siendo víctima de un ataque. Además, en el ejemplo se da la idea de que esos SMS se pueden enviar camuflados como mensajes publicitarios o SMS silenciosos (los SMS que están vacíos y que se reciben, pero que no generan notificaciones).
En cualquier caso, como indicamos, aunque al recibir estos mensajes te pudieras estar oliendo que algo ocurre, seguramente nunca pensarías en la posible detección de tu ubicación (al menos hasta que este ataque se extienda y se haga famoso). Para la prueba que han realizado los responsables del estudio, han llevado a cabo el envío de 20 mensajes SMS silenciosos cada hora durante un periodo de tres días. Han elegido móviles de Emiratos Árabes Unidos, Estados Unidos y algunos países de Europa, como Alemania. Y lo han hecho de la forma más simple posible, porque querían ver cómo este sistema funcionaría en el caso de usuarios sin conocimientos avanzados como los suyos.
Lo que es preocupante es que el nivel de acierto que han obtenido en la deducción de la ubicación ha sido extremadamente alto. Y, como lo han hecho de una forma sencilla, argumentan que, si hackers experimentados con más habilidades usan un sistema como este, seguro que conseguirán que el proceso no sea solo más rápido, sino también de mayor precisión. En su caso, como decíamos antes, han alcanzado un 96% de acierto al deducir si un móvil está en Estados Unidos o fuera del país, un 92% para saber exactamente en qué país está y entre un 62% y un 75% en obtención de localizaciones dentro de una misma región.
Las aplicaciones que podría tener este tipo de ataque van, posiblemente, más allá de lo que nos tengamos que preocupar a nivel de usuario, ya que parece un concepto que podría tener connotaciones superiores. Para la obtención de los datos se combina la información que se genera en la red de nodos con un modelo de aprendizaje automático que, a base de envío de mensajes SMS, descubre y cuadra la localización del usuario.
Posiblemente sea algo de lo que se tengan que preocupar personas famosas, altos cargos políticos o incluso espías. La única buena noticia es que las pruebas se realizaron dentro de lo que los autores de la investigación han denominado como un «mundo cerrado», lo que significa que determinaron una serie de posibles localizaciones entre las que el ataque tenía que decantarse. Pero también avisan de que el proceso está todavía en desarrollo y que llegará a ser todavía más peligroso.