La inseguridad del protocolo de telecomunicaciones SS7

«Las personas no entienden cuán fácil es espiarlas», dijo Philippe Langlois, director ejecutivo de P1 Security, una corporación de investigación ubicada en París. Tal es el caso con el sistema de señalización por canal común n.o 7 (SS7), un protocolo estándar utilizado por la mayoría de los operadores de telecomunicaciones en el mundo. Cuando fue diseñado, solo había unos cuantos operadores, controlados por estados o por empresas muy grandes; pero hoy cualquiera puede ser un operador, así que es más fácil obtener acceso al SS7.

Hay muchas compañías que ofrecen un servicio de rastreo para cuando alguien haga llamadas o envíe mensajes.

Este protocolo permite detectar la ubicación geográfica de los usuarios de teléfonos móviles y acceder al registro de las ubicaciones anteriores, permitiendo elaborar una ruta con fecha y hora de todos los lugares en que el teléfono ha estado.

Alguien podría argumentar: «No conozco a nadie que sea un operador de red, así que puedo estar seguro de que a nadie le interesaría averiguar mi ubicación»; pero se equivoca, pues hay muchas compañías que ofrecen un servicio de rastreo para cuando alguien haga llamadas o envíe mensajes, cobrando un mínimo de un centavo de euro por solicitud. Comercialmente hablando, esto es un negocio muy importante para la investigación y la publicidad de cualquier empresa, incluso permitiéndoles enviar mensajes publicitarios a los usuarios sin costo alguno para ellas.

Las entidades que se dediquen a rastrear a las personas mediante SS7 pueden hacerlo con el fin de vender esta información a empresas comerciales y agencias de inteligencia, aun extranjeras. Tal es el caso de SkyLock, un sistema de rastreo celular vendido por Verint, un fabricante de sistemas de análisis que ofrece a las agencias gubernamentales «una nueva forma económica de obtener información de ubicación geográfica de objetivos conocidos», el cual actualmente está operando para rastrear teléfonos en México, Nigeria, África del Sur, Brasil, el Congo, los Emiratos Árabes Unidos y Zimbabue, entre muchos otros. SkyLock ya ha sido vendido a más de 10 000 organizaciones en más de 180 países.

El investigador de seguridad Tobias Engel dijo que «uno es obviamente rastreable en todo el planeta siempre y cuando uno tenga un teléfono móvil. Cualquiera puede rastrearlo a uno si está dispuesto a gastar algo de dinero para lograrlo». James Moran, director de seguridad del grupo comercial londinense GSMA, afirmó que «SS7 es inherentemente inseguro y nunca fue diseñado para ser seguro».

El director ejecutivo de P1 Security Philippe Langlois afirma que las personas no entienden cuán fácil es espiarlas.

Algunos expertos de seguridad afirman que tanto criminales como agencias gubernamentales podrían espiar a las personas mediante este protocolo en un área legal muy ambigua, pues aunque en la mayoría de países es ilegal espiar a las personas sin su consentimiento o sin una orden judicial, el estándar legal internacional no es claro respecto a rastrear a personas fuera del país ni existe una entidad internacional con la autoridad para establecer normas que eviten abusos potenciales.

Los usuarios tienen solo tres formas de evitar ser rastreados mediante SS7: Si la red permite utilizar múltiples SIM en un mismo número telefónico, el usuario puede decidir cuál SIM recibirá los mensajes de texto; solicitar al operador que bloquee los mensajes de texto entrantes o apagar el teléfono.

Licencia Creative Commons
Esta obra de Allan Aguilar está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

Encabezado: Alexandre Dulaunoy, Philippe Langlois at hack.lu 2010, CC BY-SA 2.0
Imagen: Bernat Agullo, machiko searching for stuff, CC BY-SA 2.0

Fuente: «For sale: Systems that can secretly track where cellphone users go around the globe».

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s