Kevin Briggs, un oficial de la Agencia de Ciberseguridad y Seguridad de Infraestructura de los Estados Unidos (CISA), reveló que existen atacantes que han explotado diversas vulnerabilidades en la red troncal de telecomunicaciones móviles en los últimos años, reportó el medio 404 Media.
Los señalamientos del oficial, aparentemente realizados sin la autorización de la agencia, exponen que los principales proveedores de servicios móviles del país, como AT&T, Verizon o T-Mobile, hn sido recientemente atacados, a pesar de que las empresas alegan haber mejorado la seguridad de sus redes.
Briggs alertó sobre las vulnerabilidades en el protocolo SS7 (sistema de señalización por canal común n.º 7), una infraestructura implementada en la década de los ochenta para enrutar comunicaciones cuando un usuario se encuentra fuera de la área de cobertura de su proveedor, así como en Diameter, otro protocolo de red más avanzado, pero que también puede ser intervenido.
El protocolo SS7 puede ser explotado por firmas de vigilancia, gobiernos y otros actores maliciosos para identificar el número de teléfono es un objetivo y rastrear su actividad, incluyendo la obtención de su geolocalización. El atacante utiliza una dirección global ─la cual puede ser rentada por algunos miles de dólares─ para enviar solicitudes a la red.
En un ataque convencional al protocolo SS7, el atacante engaña al operador móvil a redirigir mensajes de texto y llamadas hacia un punto controlado por el actor malicioso. De esta manera, puede interceptar mensajes con códigos de autenticación o incluso escuchar llamadas telefónicas. En 2019, por ejemplo, estos ataques fueron usados para robar cuentas bancarias accediendo a código de verificación enviados por SMS.
También se ha documentado que estas vulnerabilidades han sido empleada en contra de activistas, periodistas y personas defensoras de derechos humanos. En 2023, el diario israelí Haaretz reveló que el periodista mexicano Fredid Román fue geolocalizado en secreto un día antes de ser asesinado, a través de una infraestructura de vigilancia global que explota estos fallos en la red.
Las revelaciones de Briggs contrastan con las afirmaciones públicas de las compañías de telecomunicaciones del país, quienes afirman que no se han detectado incidentes relacionados con SS7 o Diameter desde 2018. Sin embargo, Briggs afirmó en su reporte que hay evidencia de que al menos una persona en Estados Unidos fue rastreada de este modo en marzo de 2022.
Las vulnerabilidades del protocolo SS7 son costosas y difíciles de mitigar, ya que la infraestructura actual de telecomunicaciones global, que tiene miles de millones de personas usuarias, se sostiene en esta arquitectura de interoperabilidad. Sin embargo, toda una industria de vigilancia se mantiene de la explotación de estas fallas, como el software Geomatrix ─un programa que permite obtener la geolocalización en tiempo real de un dispositivo móvil, mediante búsquedas por número telefónico y por número IMSI─ que ha sido adquirido por diversas autoridades en México, incluyendo la Fiscalía General de la República.