Todos los operadores de telecomunicaciones son vulnerables al robo de información de sus suscriptores sin que estos puedan tomar acciones para evitarlo. La información puede incluir su localización, su código de Identidad Internacional del Suscriptor Móvil (IMSI), el saldo de su cuenta o detalles de su perfil, de acuerdo con un reporte de la compañía rusa de ciberseguridad Positive Technologies que muestra los resultados del análisis de seguridad del sistema de señalización SS7.
El sistema de señalización SS7 es un conjunto de protocolos desarrollado en la década de los 70, que es utilizado por los operadores de telecomunicaciones para intercambiar datos entre los dispositivos de una red. En sus inicios, solo los operadores de telecomunicaciones fijas tenían acceso a este sistema, pero con la incorporación del estándar SIGTRAN a principios de la década del 2000, los protocolos SS7 comenzaron a tener la posibilidad de enviar informacion a traves de conexiones de internet (IP), con lo que la red dejó de estar aislada.
Esta exposición del sistema SS7 permite que un intruso intercepte llamadas y mensajes SMS o que acceda a información personal y financiera de los usuarios de servicios de telecomunicaciones. Un operador de servicios de telecomunicaciones puede recibir en promedio 4,000 ataques diarios a este sistema que ponen en riesgo la privacidad y la seguridad financiera de sus usuarios, de acuerdo con Sergey Punsakov, líder de Investigación en Seguridad de Positive Technologies.
“Dado que SS7 es un estándar para todos los operadores en las redes 2G y 3G, como GSM y UMTS, si un intruso tiene acceso al sistema de cualquier operador puede obtener acceso a cualquier otro operador móvil para recabar información de cualquier suscriptor en todo el mundo”, dijo Punsakov en entrevista con El Economista y agregó que si bien las redes 4G, como LTE, están basadas en el protocolo Diameter, este tiene las mismas vulnerabilidades que el SS7 pues también está conectado a internet.
Según el análisis de Positive Technologies, que basó su estudio en operadores de telecomunicaciones de Europa y Medio Oriente con bases de clientes de mas de 40 millones de suscriptores, reveló que 100% de sus redes tienen vulnerabilidades que permiten la exfiltración de información de sus usuarios y la denegación del servicio para estos; en 89% de los casos es posible la intercepción del tráfico del usuario; en 78% el fraude y en 68% la exfiltración de información sobre la propia red.
De acuerdo con una serie de simulaciones de ataques llevadas a cabo por la compañía, los ataques exitosos logran en 73% de los casos interceptar el tráfico de los usuarios; en 68% denegarles el servicio; en 63% cometer fraude en el cobro de los servicios de telecomunicaciones; en 50% exfiltrar información de los usuarios y en 18%, exfiltrar información de la red.
De acuerdo con Punsakov, varios de estos tipos de ataques son sumamente difíciles de bloquear debido a que simulan las acciones que cualquier comunicación de un usuario supone dentro del sistema SS7 y si los operadores bloquearan estos ataques, también suspenderían el servicio para sus usuarios.
“Lo que creo que los operadores deben hacer es supervisar sus redes de interconexión y bloquear fuentes hostiles en estados tempranos de los ataques”, dijo y agregó que los usuarios finales no tienen la posibilidad de prevenir este tipo de ataques por lo que estos son completa responsabilidad de los operadores.
Esto resulta de especial atención en países como México, en donde, de acuerdo con la Ley Federal de Telecomunicaciones y Radiodifusión, los concesionarios que presten servicios de telecomunicaciones en redes públicas deben conservar hasta por 24 meses un registro y control de las comunicaciones que se realicen desde cualquier tipo de línea y que permita identificar datos como el nombre, la denominación o razón social y domicilio del suscriptor; el tipo de comunicación, es decir si es de voz, mensajería o datos; datos necesarios para rastrear e identificar el origen y destino de las comunicaciones de telefonía móvil; así como fecha, hora y duración de las comunicaciones.
Fuente: El Economista
