Esta tecnología obsoleta pone en riesgo tu seguridad, pero la usas todos los días

Puntos clave

¿Has oído hablar alguna vez del sistema de señalización nº 7 (SS7)? Probablemente no, pero lo sigues utilizando a diario, al igual que todo el mundo que conoces. El problema es que esta tecnología está muy desactualizada y es muy insegura. Sin embargo, existen alternativas al uso del SS7 y, lo mejor de todo, son gratuitas.

¿Qué es SS7 y por qué no es seguro?

El sistema de señalización nº 7 es un conjunto de protocolos de telefonía que permite a las redes de telecomunicaciones comunicarse entre sí. En cierto sentido, es un sistema de comunicación que permite a las redes telefónicas intercambiar información importante. En parte, gracias a esta tecnología, se pueden realizar llamadas telefónicas, enviar mensajes de texto y utilizar servicios similares.

El SS7 se introdujo por primera vez en la década de 1970 y se implementó en la red ATT en los Estados Unidos. Poco después, se estandarizó para su uso internacional y reemplazó a sistemas más antiguos en otros países del mundo. En la década de 1990, el SS7 se adoptó de forma más generalizada y se convirtió en la columna vertebral de las telecomunicaciones mundiales.

El identificador de llamadas, el desvío de llamadas y el servicio de mensajes cortos (SMS) también se introdujeron en la década de 1990, mientras las redes móviles se expandían a nivel mundial. La integración de SS7 jugó un papel clave en este proceso, y nuestra sociedad no ha sido la misma desde entonces. Pocos de nosotros podemos imaginar vivir en un mundo en el que sea imposible enviar un mensaje de texto a un amigo que usa un operador diferente, y eso se debe en gran medida a la adopción generalizada de esta tecnología.

¿Cuál es entonces el problema con SS7? Bueno, SS7 está obsoleto y es inseguro, una reliquia de cuando las amenazas digitales no eran tan sofisticadas ni tan frecuentes como hoy. Desde al menos mediados de la década de 2000, las fallas de seguridad han sido evidentes y solo se han vuelto más pronunciadas con el tiempo. Esto no es una cuestión de especulación u opinión, ni es un problema que afecte solo a una red, dispositivo o individuo específico. Estas vulnerabilidades son inherentes al propio SS7.

Cómo las vulnerabilidades de SS7 exponen su privacidad

A medida que la tecnología y los delitos cibernéticos evolucionaban, SS7 luchaba por mantenerse al día. En los últimos años, se registraron decenas de incidentes y violaciones de seguridad de alto perfil en todo el mundo.

Por ejemplo, en 2017, un grupo de delincuentes no identificados aprovechó los agujeros de seguridad de SS7 para sacar dinero de las cuentas bancarias de los usuarios. Lo hicieron eludiendo la autenticación de dos factores que algunos bancos utilizaban para evitar el acceso no autorizado y proteger a los clientes, según Ars Technica. En ese momento, el representante del Congreso de Estados Unidos Ted Lieu pidió al gobierno federal que solucionara estos fallos “devastadores”, diciendo que es “inaceptable que la FCC y la industria de las telecomunicaciones no hayan actuado antes para proteger nuestra privacidad y seguridad financiera”.

De manera similar, The Washington Post informó en 2014 que una vulnerabilidad SS7 permite a las entidades gubernamentales rastrear a los usuarios de teléfonos celulares en tiempo real. Una fuente le dijo al medio que “docenas” de países estaban haciendo esto, mientras que los expertos en seguridad señalaron que nada impide que los grupos de piratas informáticos y organizaciones similares hagan lo mismo. En 2020, un denunciante reveló que Arabia Saudita estaba explotando estas mismas vulnerabilidades para rastrear a sus ciudadanos en los Estados Unidos, según The Guardian.

Mientras tanto, una investigación de Haaretz de 2020 descubrió que la empresa de inteligencia israelí Rayzone Group estaba abusando de las fallas de SS7 para rastrear a personas en todo el mundo en nombre de sus clientes. Aproximadamente un año después, el director ejecutivo de una empresa tecnológica suiza especializada en mensajes de texto automatizados explotó estas mismas vulnerabilidades para espiar a personas, según la Oficina de Periodismo de Investigación.

Tenga en cuenta que esto es solo la punta del iceberg: es evidente que SS7 no es seguro y es extremadamente vulnerable a la explotación. Por eso no debe usar SMS para proteger su privacidad; asuma que todo lo que envíe por mensaje de texto puede ser interceptado y leído por su gobierno o casi cualquier otra persona con las herramientas y la experiencia adecuadas.

Pero la verdadera pregunta es: ¿por qué no se hace nada para solucionar las vulnerabilidades de SS7? Los operadores y las redes móviles sin duda son conscientes de ellas; los expertos en seguridad las conocen desde hace mucho tiempo, al igual que los políticos. De hecho, algunos han hablado abiertamente de ellas, como Lieu, y han instado a los organismos reguladores a tomar medidas. Sin embargo, nada ha cambiado. Cuando The Register informó sobre esto, concluyó que "tal vez a los servicios de inteligencia de Estados Unidos les guste la idea de que, para ellos, las redes sean fácilmente vulnerables".

Sin embargo, cabe señalar que esta es sólo una posible explicación que quizá responda sólo parcialmente a la pregunta. SS7 es una infraestructura heredada y realizar cambios radicales probablemente requeriría cooperación internacional y la implementación y despliegue de nuevas tecnologías, lo que requeriría una inversión significativa de tiempo y dinero. En resumen, los incentivos para realizar los cambios necesarios simplemente no existen.

Qué puede hacer para protegerse de las vulnerabilidades de SS7

Si SS7 es omnipresente, ¿qué puede hacer la gente común para protegerse? Una solución sencilla es utilizar aplicaciones de mensajería segura para enviar mensajes de texto y hacer llamadas telefónicas, ya que ofrecen una capa de protección que no tienen los servicios de SMS y telefonía tradicionales respaldados por SS7.

Estas aplicaciones utilizan una tecnología mucho más segura y privada que SS7, pero si quieres ir un paso más allá, considera utilizar una aplicación de mensajería cifrada de extremo a extremo: el cifrado de extremo a extremo garantiza que tus comunicaciones estén a salvo de escuchas. Hay docenas de aplicaciones de este tipo en el mercado y muchas son completamente gratuitas. Signal es posiblemente la aplicación de mensajería más segura disponible en la actualidad, pero WhatsApp no ​​se queda atrás.

Signal es de código abierto, cuenta con un potente algoritmo de cifrado y es increíblemente segura. WhatsApp, por otro lado, es probablemente la mejor opción para quienes desean una aplicación sencilla y fácil de usar con la que todos estén familiarizados y que ya tengan instalada en su teléfono. Sin embargo, algunos se alejan de WhatsApp, ya que es propiedad de Meta (la empresa matriz de Facebook e Instagram) y creen que tiene problemas de privacidad.

A pesar de los problemas evidentes, SS7 no irá a ninguna parte

El SS7 está obsoleto y presenta graves defectos, pero no desaparecerá. Al menos por ahora, no hay indicios de que la industria de las telecomunicaciones vaya a eliminarlo gradualmente. Hasta que el SS7 sea reemplazado por una tecnología mejor y más segura, haga lo que pueda para proteger su privacidad.

Es cierto que no siempre es posible evitar el uso de SMS o realizar llamadas, pero instalar una aplicación de comunicación con cifrado de extremo a extremo es un buen comienzo. En cualquier caso, mantenerse a salvo de la vigilancia y otras amenazas requiere un compromiso serio y sostenido con la higiene y la seguridad digitales.