Cuentas bancarias asaltadas al aprovechar los ciberdelincuentes una importante vulnerabilidad en las redes de telefonía móvil

Cuando eres un objetivo tan grande como la industria de telecomunicaciones, y existe una vulnerabilidad tan importante como la que afecta al protocolo SS7, mejor no confiar en que no la descubran. Tú y tus clientes pueden sufrir las consecuencias, y de hecho ya las han sufrido.

El protocolo de señalización de telefonía Signalling System No. 7 (SS7) se usa para establecer la interoperatividad entre los más de 800 operadores de telefonía que existen en el mundo, pero es muy vulnerable a hackers, criminales y operadores corruptos. Desde hace años que conocemos este problema, pero ahora, alguien en Alemania ha usado esa vulnerabilidad para desvalijar las cuentas bancarias online de sus victimas.

El SS7 fue diseñado en los 70s, cuando el acceso a redes de telefonía era algo raro y fácilmente controlable, por ejemplo, AT&T todavía mantiene esencialmente el monopolio completo para todos los servicios en EEUU. Pero ahora con Internet, VoIP y los proveedores sin cables pudiendo enlazar con SS7 para realizar todo tipo de cosas interesantes y también enredar con todo el sistema. El sector se ha tomado las amenazas a la ligera, pero puede que ahora tomen cartas en el asunto.

El periódico alemán Süddeutsche Zeitung fue el primero en informar sobre este ataque día cero que se divide en dos partes y se basa en los servicios del SS7 que sirven para validar una tarjeta SIM cuando se viaja al extranjero.

La primera parte, según informa Bank Info Security, los ciberdelincuentes consiguen nuestras credenciales bancarias usando los típicos ataques de phishing. La segunda parte se centra en comprar acceso a operadores fraudulentos de telefonía y crear un re-direccionamiento del móvil de la víctima hacía un terminal controlado por ellos. Por lo tanto, solo tienen que esperar a la hora propicia para comenzar a sustraer el dinero de las cuentas de la víctima ya que podrán interceptar los SMS con los códigos de validación.

Lo triste de este caso es que los operadores de telefonía saben desde hace tiempo que el SS7 era vulnerable. Bank Info Security resumía los casos conocidos:

• Tobias Engel en el Chaos Communication Congress de 2008 mostró como usuarios sin autorización de SS7 podían localizar el origen de una llamada telefónica.
• En los papeles que Ed Snowden hizo públicos en 2013 se mostraba como la NSA usaba el SS7 para espiar a individuos.
• Karsten Nohl’s mostró en el Chaos Communication Congress de 2014 como un hacker usando SS7 podía escuchar llamadas, leer mensajes cortos e interceptar el tráfico de Internet.
• Ese mismo año, Positive Technologies demostró técnicas todavía más potentes de interceptación de mensajes y comprobaron como los diez principales proveedores de telefonía mundiales eran vulnerables a estas técnicas.
• También en 2014 la agencia reguladora de las telecomunicaciones de Ucrania informó de ataques vía SS7 que parecían proceder de Rusia.

La solución a corto plazo que han adoptado algunos proveedores es bloquear los operadores fraudulentos, pero esto no evita que surjan otros que ocupen su lugar. También están trabajando en solucionar las vulnerabilidades del SS7. Mientras tanto los SMS no son un elemento seguro para la autenticación de doble factor, por lo que no los debemos emplear en nuestras transacciones.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: