SS7 cuando las redes telefónicas nos ponen en peligro

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

No hay seguridad con cero controles, lo que equivale a la necesidad de tener cero confianza en el protocolo SS7.

Las redes deben aceptar la amenaza, hay que educarse acerca de los vectores de ataque que utilizan los cibercriminales y moverse para monitorear y neutralizar el problema.

Mientras tanto, dado que se ha demostrado que es falible, se debe pausar el uso de canales móviles como una capa adicional de seguridad.

Hace poco más de un año, en agosto de 2016, el NIST dejó de recomendar los sistemas de autenticación de dos factores que usan SMS debido a lo que describió como verificación fuera de banda que usa SMS como obsoleto.

El senador estadounidense Ron Wyden (D-OR) y el representante Ted Lieu (D-CA) escribieron al organismo de control de comunicaciones de los Estados Unidos, la FCC, preguntando por qué las fallas informadas en las redes globales de células SS7 (Sistema Señalizador 7) no se han abordado.

Las redes globales de comunicación exponen al usuario a riesgos potenciales que deben ser atendidos.

Las redes sociales y la vulnerabilidad SS7

El problema fundamental que traza el protocolo SS7 es que no es posible parchear dicha vulnerabilidad.

Al originarse el problema en la propia red de comunicaciones y no en la plataforma de una red social, los usuarios no podemos hacer más que tomar una serie de precauciones.

Lo más recomendable sería no enlazar el número de teléfono a una red social como Facebook o Instagram, usando como método de doble autenticación para recuperar la contraseña el correo electrónico, y no el envío de sms.

El protocolo SS7 brinda al cibercriminal un poder total al permitir el acceso global a todas las redes telefónicas mundiales, lo que se vaticina como un espionaje masivo y total por parte de ciberdelincuentes, o gobiernos. Podrían espiar mensajes y llamadas, escuchándolas y grabándolas, o acceder a la localización del dispositivo por GPS o Bluetooth.

 

Por Josep Verdura – Analista de Seguridad de Vintegris