Espiar las comunicaciones móviles por 300 dólares

Sergio De Los Santos  17 julio, 2013

Tom Ritter y Doug DePerry de iSEC Partners, demostrarán en la Def Con de
Las Vegas cómo interceptar el tráfico (voz, datos, mensajes…) de cualquier
teléfono móvil Verizon que se encuentre a unos metros de una femtocelda
manipulada por ellos. El ataque solo necesita una inversión de 300 dólares en
equipamiento. ¿Es realmente insegura la comunicación móvil?
Una periodista entra en una habitación de hotel para hablar con Ritter y DePerry. Sin preparación previa, Ritter le muestra el número de móvil de la chica en la pantalla del portátil. Ella confirma que es el suyo. La periodista realiza una llamada de forma totalmente normal y, minutos
después, Ritter le reproduce la grabación de la conversación en el mismo
portátil. No importa el modelo de teléfono. ¿Cómo es posible? En realidad, esto
ya se ha investigado con anterioridad, pero parece que han perfeccionado el
ataque que sea más barato, más sencillo y sobre un operador conocido.
Conceptos previos
Fuente: http://www.pcmag.com/article2/0,2817,2421782,00.asp

Una femtocelda es como un router que te alquila tu compañía
telefónica móvil para zonas sin demasiada cobertura. Ofrece cobertura a unos 25
metros a la redonda  y recoge la señal de
los teléfonos alrededor. La femtocelda se conecta a internet a través de una
línea ADSL (de la propia compañía) y ofrece cobertura móvil en zonas rurales
o con difícil acceso, llevando las llamadas a través de Internet. Es un
servicio que ofrecen Movistar, Vodafone, Orange…

En resumen, se trata de una pequeña antena telefónica como
las que podemos observar en cualquier torre y que ofrece cobertura
, solo que personalizada,
más pequeña y que va a través de la red. Por ejemplo, nos permite elegir a qué
números dar cobertura y a cuáles no, como si pudiésemos dar de alta la MAC de
nuestro ordenador en el router Wi-Fi.

Ataques previos

Se conocen muchos ataques contra la telefonía móvil (la compañía española Taddong es experta en el asunto y han ofrecido numerosas demostraciones prácticas).
Fundamentalmente usamos hoy en día dos tecnologías:

  • 2G: Que es la combinación de GSM para voz (en Europa,
    porque en Estados Unidos se puede usar CDMA) y GPRS para datos. Estos
    estándares pueden ir cifrados o no, pero si lo están, ya se conocen formas de
    romperlo en un tiempo razonable
    . Si podemos hacer la analogía con Wi-Fi, su
    estado sería más o menos el de WEP. Además tiene un problema adicional: en el
    mundo 2G, el teléfono se autentica contra la torre pero no al revés. Por tanto
    se pueden “falsificar”.
  • 3G: Es el protocolo UMTS. Los datos van también cifrados,
    pero todavía no se conocen ataques prácticos que permitan romperlo. La estación
    base (torre) sí se autentica contra el teléfono. Siguiendo con la analogía, se trataría de WPA con
    Radius.
Actualmente, 2G es un desastre porque permite a un atacante suplantar
la estación base (la torre) y que el teléfono se conecte a ella sin dudarlo. A
todo esto ayuda bastante que los teléfonos “degraden” la conexión a 2G
cuando lo necesitan
y que uno de los modelos más usados (el iPhone) no permita
evitar este comportamiento.

Además, un atacante podría montar una estación base por
relativamente poco dinero (actualmente, unos pocos miles de euros). El teléfono puede, para ahorrar batería o porque la
señal es más fuerte, conectarse a esa estación base falsa que emite en 2G y
ofrecer todos sus datos
. Importante destacar que no podría recibir llamadas a
menos que el atacante enrute el tráfico a la red móvil real, algo más complejo. Hoy en día pues, si utilizamos 3G para comunicarnos, los
datos pueden mantenerse relativamente seguros por ser un cifrado fuerte y por
la autenticación.
¿Cómo lo han hecho y qué diferencia a este ataque de otros?

En este ataque en concreto, parece que han montado una
estación base (torre) con una femtocelda manipulada (lo que abarata costes) asociada a un operador conocido. El
teléfono de la víctima se conecta a ella y parece que “degrada” a 2G
(dicen ser los primeros que han usado CDMA en vez de GSM), para que los
atacantes puedan descifrar el tráfico.

Cualquiera podría comprar una femtocelda en eBay y
manipularla, pero no le sería útil. Para que funcione, la compañía telefónica
tiene que darla de alta y permitir que se comunique con la red móvil a través
del ADSL. Así que en la práctica, comprar una femtocelda y que alguien se
conecte a ella no le lleva al “mundo real” de las comunicaciones, o
sea, no podría llamar. Sin embargo, manipular una femtocelda de una reconocida y
popular marca en Estados Unidos y que las víctimas puedan realmente realizar
llamadas y transmitir datos, sí parece bastante relevante.

Lo han conseguido pues aprovechando un fallo de seguridad de
estas femtoceldas de este operador. No han dado más detalles. Según Verizon ya lo han arreglado,
emitiendo un parche para el Linux que llevan dentro todas las femtoceldas.
Según Ritter y DePerry, el parche no soluciona del todo el problema.

Será necesario esperar a su presentación en Las Vegas
llamada “I Can Hear You Now: Traffic Interception and Remote Mobile Phone
Cloning with a Compromised CDMA Femtocell”. Mientras, aquí se puede encontrar un vídeo de demostración.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *