¿Con qué facilidad se hackea una red celular?

24 Nov 2015

El año pasado se descubrió una nueva forma de atacar las redes celulares. No se necesitan costosos escáneres de radio ni ordenadores con gran potencia eléctrica, y está disponible de forma virtual para todo el mundo. Además, las compañías no cuentan con los medios prácticos para la protección contra este tipo de ataques.

cellular-ss7-FB

El acuerdo se basó en el ataque a SS7, un sistema de señalización utilizado por las redes celulares y desarrollado en los años 70. En otras palabras, en la era de las primeras interconexiones telefónicas eléctricas.

Sorprendentemente, el sistema de señalización SS7 no emplea los medios básicos de protección: el tráfico no está cifrado y el equipo es incapaz de distinguir entre las órdenes legítimas y las corruptas. El sistema procesa cualquier comando independientemente de la fuente.

Esto sucede por una sencilla razón: como presupusieron los que elaboraron este protocolo hace 40 años, en el SS7, la capa de señalización se separa de la capa de voz, y, en consecuencia, nadie excepto el personal de la central telefónica puede acceder a este canal.

Incluso si alguien lo consiguiera, no se podría hacer nada: ningún comando se transmitiría a través de la red, excepto los que se conectan a un suscriptor, por lo que no habría que preocuparse del transporte de falsos paquetes a través de la capa.

Sin embargo, la situación cambió en el año 2000, en cuanto se introdujo el procedimiento de tramitación de los comandos SS7 sobre redes IP, exponiendo básicamente la capa SS7 al acceso desde el exterior.

La buena noticia es esta: no es posible conectarse a un transportador de red desde cualquier equipo conectado a Internet. Se necesita un dispositivo especial, un canal SS7.

La mala noticia es la permisibilidad en la regulación de la compra de dichos dispositivos de red. Algunos países emiten licencias de transporte fácilmente, que a su vez, permiten que cualquiera pueda establecer legítimamente este sistema e interconectarlo a un nodo de transporte. Esto explica por qué el mercado negro está plagado de comerciantes ilegales que ofrecen “servicios de conexión” para este tipo de canales.

No importa dónde se coloca. Se puede utilizar para enviar y aceptar comandos en cualquier transportador de red a nivel mundial. Hay una buena razón: el bloqueo de comandos en ciertas intersecciones de la red puede que causar la interrupción de los servicios de roaming y el cese de las conexiones internacionales que hacen que este tipo de ataques sean muy difíciles de desviar.

Ahora, vamos a repasar las opciones que los criminales podrían aprovechar. En primer lugar, el atacante necesitaría la Identidad Internacional del Abonado a un Móvil (ISMI), el identificador único de una tarjeta SIM en la red celular, que es imprescindible para tener acceso a este. El ataque se lleva a cabo a través de SMS (curiosamente, en un primer momento el SMS fue una función no documentada del protocolo GSM: los mensajes se transportan a través del canal de señalización).

Si uno emite una solicitud para enviar un SMS a un número de teléfono particular, la red del operador o concretamente al HLR (Home Location Register, o registro de ubicación base, en español), que es la principal base de datos de información permanente de un suscriptor a una red móvil, este responderá con el IMSI y la referencia a la actual Central de Conmutación Móvil (MSC o Mobile Switching Center, en inglés) y el registro de visitantes (VLR), una base de datos que contiene información específica de la ubicación temporal de los usuarios y que el MSC necesita para garantizar el servicio de visitas de los mismos.

La respuesta es la siguiente: “Hola, aquí está el IMSI y la dirección del segmento de red donde se encuentra actualmente el usuario. Ahora envía el mensaje al mencionado IMSI para el MSC/VLR. “Mientras esto sucede, también queda expuesta la dirección HLR de la base de datos. Conociendo estas direcciones e identificadores, un criminal es capaz de enviar varios comandos al HLR.

Por ejemplo, un estafador puede solicitar el identificador de la estación base celular que presta servicio al usuario de destino. Con este identificador único y con cualquiera de las numerosas bases de datos de usuarios en Internet, se puede saber la ubicación exacta del usuario, con una gran precisión, en un rango de varios metros. Algunos programas simples pueden automatizar completamente el proceso, solicitando que se introduzca solamente el número de móvil y obteniendo un punto en el mapa.

Alguien podría solicitar el HLR para volver a conectar a otro VLR e introducir el valor erróneo, bloqueando de esta forma las llamadas entrantes y los mensajes.

Hay otra opción de invitación: para introducir la dirección MSC/VLR emulada en el equipo del criminal con la ayuda de un paquete de software “SS7 para Linux”, totalmente disponible en descarga online. Esto plantea nuevas oportunidades para espiar de forma sigilosa las llamadas y los mensajes.

Por ejemplo, cuando el criminal recibe un SMS en el equipo interceptado, no devolverá el aviso de entrega del servicio de mensajes, sino que el VLR volverá a su valor legítimo. Una vez hecho esto, el servidor saliente lo conectará de nuevo y finalmente entregará el mensaje al destinatario original. El interceptado de SMS es un método perfecto para obtener los códigos de verificación únicos utilizados por los sistemas de verificación en dos pasos.

Esto es incluso más fácil de conseguir en las llamadas telefónicas: con acceso al HLR un criminal puede configurar el reenvío incondicional a un número de teléfono intermediario antes de entregar una llamada al destinatario original.

Este método permite espiar las llamadas telefónicas salientes, con algo más de esfuerzo: la ruta de expedición se establece en el teléfono al que llama la víctima. El número se obtiene cuando la llamada saliente emite una solicitud que contiene el número de teléfono deseado y lo envía a un sistema de facturación por lo que le aplica una tasa en la tarificación de llamadas y le carga el precio de la llamada a la persona que llama.

Al cambiar la dirección legítima de la facturación a una dirección arbitraria utilizada por el estafador, el criminal puede ver el número del objetivo. La víctima solo podría completar la llamada en el segundo intento, por lo que el primer intento resulta fallido, y realiza un segundo intento sin pensárselo dos veces (por lo tanto, si normalmente solo consigues realizar la llamada en un segundo intento,  se trata de una clara señal de que alguien te está espiando).

Evidentemente, los recientes casos de llamadas secretas de políticos expuestas al mundo entero, no están ligadas a instalaciones y dispositivos, ni hay agentes secretos involucrados: es probable que lo haya hecho algún miembro de la oposición de la campaña electoral en curso a cambio de una pequeña suma de dinero.

El impacto que este método podría tener en un ciudadano de a pie se limita principalmente a pequeños robos de un par de euros en su plan de telefonía móvil: se puede hacer mediante el envío de comandos falsos que permitan pequeñas transferencias de dinero o al redirigir las llamadas a números de pago y generar tráfico.

Como ya hemos mencionado, no hay una solución segura al 100%  para este bug. Ha estado ahí desde el primer momento en el que se lanzó el protocolo. Solo un cambio fundamental en la forma de trabajo de las comunicaciones móviles podría eliminar el problema completamente.

Hay otra forma de resolver el problema, que está unido a la implementación del sistema de monitoreo de la actividad del usuario que detecta las posibles actividades maliciosas. Muchas empresas de tecnología ofrecen sistemas automatizados, que son, principalmente, como las plataformas contra el fraude que utilizan los bancos.

Las compañías móviles son el problema

Las operadoras no tienen ninguna prisa por implementar este tipo de sistemas, dejando a los abonados con la duda de si están o no protegidos de este tipo de ataques. Incluso si cuentas con el sistema de seguridad de tu operadora, no puedes presuponer que estés seguro, ya que el roaming trae bastante incertidumbre.

Sigue una sencilla regla para evitar que tus secretos lleguen a manos de los criminales: no discutas asuntos importantes por teléfono e intenta tratar este tipo de conversaciones en reuniones personales. Imagina que hablas de esto en YouTube. Para asegurar los SMS que te envíen mediante sistemas de verificación en dos pasos, puedes usar una tarjeta SIM extra con un número que solo tú conozcas, exclusivamente para este fin.