Todos los operadores de telecomunicaciones son vulnerables al robo de informaciĆ³n de sus suscriptores sin que estos puedan tomar acciones para evitarlo. La informaciĆ³n puede incluir su localizaciĆ³n, su cĆ³digo de Identidad Internacional del Suscriptor MĆ³vil (IMSI), el saldo de su cuenta o detalles de su perfil, de acuerdo con un reporte de la compaƱĆa rusa de ciberseguridad Positive Technologies que muestra los resultados del anĆ”lisis de seguridad del sistema de seƱalizaciĆ³n SS7.El sistema de seƱalizaciĆ³n SS7 es un conjunto de protocolos desarrollado en la dĆ©cada de los 70, que es utilizado por los operadores de telecomunicaciones para intercambiar datos entre los dispositivos de una red. En sus inicios, solo los operadores de telecomunicaciones fijas tenĆan acceso a este sistema, pero con la incorporaciĆ³n del estĆ”ndar SIGTRAN a principios de la dĆ©cada del 2000, los protocolos SS7 comenzaron a tener la posibilidad de enviar informacion a traves de conexiones de internet (IP), con lo que la red dejĆ³ de estar aislada.Esta exposiciĆ³n del sistema SS7 permite que un intruso intercepte llamadas y mensajes SMS o que acceda a informaciĆ³n personal y financiera de los usuarios de servicios de telecomunicaciones. Un operador de servicios de telecomunicaciones puede recibir en promedio 4,000 ataques diarios a este sistema que ponen en riesgo la privacidad y la seguridad financiera de sus usuarios, de acuerdo con Sergey Punsakov, lĆder de InvestigaciĆ³n en Seguridad de Positive Technologies.āDado que SS7 es un estĆ”ndar para todos los operadores en las redes 2G y 3G, como GSM y UMTS, si un intruso tiene acceso al sistema de cualquier operador puede obtener acceso a cualquier otro operador mĆ³vil para recabar informaciĆ³n de cualquier suscriptor en todo el mundoā, dijo Punsakov en entrevista con El Economista y agregĆ³ que si bien las redes 4G, como LTE, estĆ”n basadas en el protocolo Diameter, este tiene las mismas vulnerabilidades que el SS7 pues tambiĆ©n estĆ” conectado a internet.SegĆŗn el anĆ”lisis de Positive Technologies, que basĆ³ su estudio en operadores de telecomunicaciones de Europa y Medio Oriente con bases de clientes de mas de 40 millones de suscriptores, revelĆ³ que 100% de sus redes tienen vulnerabilidades que permiten la exfiltraciĆ³n de informaciĆ³n de sus usuarios y la denegaciĆ³n del servicio para estos; en 89% de los casos es posible la intercepciĆ³n del trĆ”fico del usuario; en 78% el fraude y en 68% la exfiltraciĆ³n de informaciĆ³n sobre la propia red.De acuerdo con una serie de simulaciones de ataques llevadas a cabo por la compaƱĆa, los ataques exitosos logran en 73% de los casos interceptar el trĆ”fico de los usuarios; en 68% denegarles el servicio; en 63% cometer fraude en el cobro de los servicios de telecomunicaciones; en 50% exfiltrar informaciĆ³n de los usuarios y en 18%, exfiltrar informaciĆ³n de la red.De acuerdo con Punsakov, varios de estos tipos de ataques son sumamente difĆciles de bloquear debido a que simulan las acciones que cualquier comunicaciĆ³n de un usuario supone dentro del sistema SS7 y si los operadores bloquearan estos ataques, tambiĆ©n suspenderĆan el servicio para sus usuarios.āLo que creo que los operadores deben hacer es supervisar sus redes de interconexiĆ³n y bloquear fuentes hostiles en estados tempranos de los ataquesā, dijo y agregĆ³ que los usuarios finales no tienen la posibilidad de prevenir este tipo de ataques por lo que estos son completa responsabilidad de los operadores.Esto resulta de especial atenciĆ³n en paĆses como MĆ©xico, en donde, de acuerdo con la Ley Federal de Telecomunicaciones y RadiodifusiĆ³n, los concesionarios que presten servicios de telecomunicaciones en redes pĆŗblicas deben conservar hasta por 24 meses un registro y control de las comunicaciones que se realicen desde cualquier tipo de lĆnea y que permita identificar datos como el nombre, la denominaciĆ³n o razĆ³n social y domicilio del suscriptor; el tipo de comunicaciĆ³n, es decir si es de voz, mensajerĆa o datos; datos necesarios para rastrear e identificar el origen y destino de las comunicaciones de telefonĆa mĆ³vil; asĆ como fecha, hora y duraciĆ³n de las comunicaciones.Fuente: El economistaDescubre mĆ”s desde NotaTrasNota
SuscrĆbete y recibe las Ćŗltimas entradas en tu correo electrĆ³nico.
