Una investigación revela dos sofisticadas campañas de vigilancia de comunicaciones

 (techcrunch.com)
1 puntos por GN⁺ 6 일 전 | 1 comentarios | Compartir por WhatsApp
  • Se identificaron dos campañas de vigilancia distintas que rastrearon datos de ubicación de teléfonos móviles explotando vulnerabilidades bien conocidas de la red telefónica global
  • Los proveedores de vigilancia obtuvieron acceso a la red haciéndose pasar por operadores móviles legítimos mediante empresas fantasma, y rastrearon objetivos usando SS7 y Diameter
  • Ambas campañas usaron en común accesos relacionados con 019Mobile, Tango Networks U.K. y Airtel Jersey como puntos de tránsito, moviéndose ocultas detrás de la infraestructura de operadores
  • La primera campaña cambiaba a Diameter cuando fallaban los ataques con SS7, y la segunda se comunicaba directamente con la tarjeta SIM mediante SMS especiales que no dejan rastro, haciendo que el teléfono funcionara como un dispositivo de rastreo de ubicación
  • A lo largo de varios años se observaron miles de ataques, y esta investigación solo reveló una parte de los millones de ataques a nivel global, lo que muestra que el abuso de la infraestructura de telecomunicaciones sigue siendo amplio

Resumen de la investigación

  • El reporte de Citizen Lab rastreó dos campañas de vigilancia distintas que siguieron la ubicación de teléfonos móviles de personas explotando vulnerabilidades bien conocidas de la infraestructura global de telecomunicaciones
  • Los proveedores de vigilancia operan como empresas fantasma que se hacen pasar por operadores móviles legítimos, y usan el acceso a red que consiguen para consultar los datos de ubicación de sus objetivos
  • Este hallazgo muestra que la explotación de vulnerabilidades estructurales continúa en distintas tecnologías que sostienen la red telefónica global
  • Aunque la investigación se centró en dos casos, los investigadores consideran que son solo una pequeña muestra de un abuso mucho más amplio por parte de proveedores de vigilancia que buscan acceso a la red telefónica global

Abuso de SS7 y Diameter

  • SS7 es un conjunto de protocolos para redes 2G y 3G, y durante mucho tiempo ha servido como base para interconectar redes celulares en todo el mundo y enrutar llamadas y mensajes de texto de los suscriptores
    • En reportes previos también se ha advertido que gobiernos y empresas de tecnología de vigilancia pueden usar vulnerabilidades de SS7 para determinar la ubicación geográfica de teléfonos móviles personales
    • SS7 no requiere autenticación ni cifrado, lo que deja margen para que operadores maliciosos lo exploten
  • Diameter fue diseñado para comunicaciones 4G y 5G, y es el protocolo sucesor que incluye funciones de seguridad ausentes en SS7
    • Citizen Lab señala que Diameter también puede ser explotado porque los operadores no siempre implementan las nuevas protecciones
    • En algunos casos, los atacantes incluso vuelven a explotar el antiguo protocolo SS7

Operadores usados como puntos de entrada comunes

  • Ambas campañas de vigilancia abusaron del acceso de tres operadores de telecomunicaciones específicos, que dentro del ecosistema de telecomunicaciones funcionaron repetidamente como puntos de entrada y tránsito para vigilancia
  • Gracias a ese acceso, los proveedores de vigilancia y los gobiernos clientes que estaban detrás pudieron operar ocultándose detrás de la infraestructura de esos operadores
  • Según el reporte, el primer operador es Israeli operator 019Mobile, identificado en múltiples intentos de vigilancia
  • Tango Networks U.K. también fue utilizado en actividades de vigilancia durante varios años
  • El tercer operador es Airtel Jersey, de la isla del Canal de Jersey, actualmente propiedad de Sure

Respuesta de los operadores

  • Sure dijo que no arrienda acceso a la red de señalización, ni directa ni conscientemente, a organizaciones cuyo objetivo sea rastrear la ubicación de personas o interceptar comunicaciones
  • Sure reconoció que los servicios digitales pueden ser objeto de abuso y afirmó que aplica varias medidas de protección, incluida la supervisión y el bloqueo de tráfico de señalización inapropiado
  • Sure añadió que, si recibe evidencia o un reporte válido relacionado con abuso de red, suspende de inmediato el servicio y, tras la investigación, lo termina permanentemente si se confirma actividad maliciosa o inapropiada
  • Tango Networks y 019Mobile no respondieron a las solicitudes de comentarios de TechCrunch
  • Gil Nagar, responsable de TI y seguridad de 019Mobile, dijo en una carta enviada a Citizen Lab que no podía confirmar si la infraestructura que Citizen Lab señaló como usada por un proveedor de vigilancia pertenecía a su empresa

Primera campaña de vigilancia

  • El primer proveedor de vigilancia facilitó campañas contra distintos objetivos en todo el mundo durante varios años, usando de forma combinada la infraestructura de varios operadores móviles
  • Con base en ese patrón, los investigadores consideran que detrás de las distintas campañas había diferentes clientes gubernamentales
  • Durante la investigación se detectaron indicios de una operación deliberada, bien financiada y profundamente integrada en el ecosistema de señalización móvil
  • Un investigador que participó en el análisis dijo que algunas pistas apuntan a una empresa comercial de geo-intelligence con sede en Israel y capacidades especializadas en telecomunicaciones, aunque no se reveló su nombre
    • Entre las empresas israelíes que ofrecen servicios similares se mencionan Circles, Cognyte y Rayzone
  • Esta campaña dependía de intentar primero la explotación de vulnerabilidades de SS7 y, si fallaba, cambiar a la explotación de Diameter

Segunda campaña de vigilancia

  • La segunda campaña de vigilancia usó un método distinto al de la primera, y detrás estaría otro proveedor de vigilancia cuyo nombre Citizen Lab no reveló
  • Este proveedor envió una forma especial de mensaje SMS dirigida a un único objetivo de alto perfil
  • Ese mensaje estaba diseñado para comunicarse directamente con la tarjeta SIM del objetivo sin dejar rastros para el usuario
    • En condiciones normales, los operadores usan este mecanismo para enviar comandos inofensivos a la SIM del suscriptor y mantener el dispositivo conectado a la red
    • En este caso, el proveedor de vigilancia envió comandos que convertían en la práctica el teléfono del objetivo en un dispositivo de rastreo de ubicación
  • Este tipo de ataque fue denominado por la empresa de seguridad móvil Enea en 2019 como SIMjacker

Escala de los ataques y dificultad de detección

  • Un investigador que participó en el estudio dijo que observó miles de estos ataques a lo largo de varios años, y los considera un abuso bastante común pero difícil de detectar
  • Sin embargo, estos ataques de tipo SIMjacker muestran un patrón de focalización geográfica, lo que sugiere que quienes los usan probablemente saben qué países y redes son más vulnerables
  • Los investigadores creen que estas dos campañas representan solo una fracción muy pequeña del total
    • El análisis se centró solo en dos campañas de vigilancia entre los millones de ataques existentes a nivel global

Lecturas relacionadas

1 comentarios

 
GN⁺ 6 일 전
Comentarios de Hacker News

  • Cuando recibía capacitación como despachador del 911, si la ubicación no salía con la información automática de e911, había que escribir una declaración de emergencia a la telefónica y mandarla por fax, y luego esperar horas hasta que terminara la revisión legal.
    Si uno se equivocaba en el criterio, incluso podía terminar en tribunales, así que el procedimiento era extremadamente estricto, y se entiende si lo ves como el costo de la privacidad.
    Pero que estas empresas usen huecos como SS7 para sacar ubicaciones cuando se les da la gana por dinero sí suena completamente demente.

    • Creo que el proceso de declaración + fax + aprobación legal que mencionas era, de hecho, la estructura correcta.
      Esa fricción no debería verse como un bug, sino como una función.
      El problema es que estas empresas se saltaron por completo ese proceso con algo parecido a un operador fantasma de SS7, y eso no solo es un fracaso de política pública, sino también un fracaso de arquitectura.
      El ecosistema de telecomunicaciones nunca fue diseñado bajo la premisa de que participantes de red "legítimos" pudieran ser hostiles.
    • Si hay que esperar horas, para entonces la persona ya podría haber muerto, así que ese procedimiento también puede sonar demasiado inútil.
    • Si en este hilo sacas la crítica a la codicia, ya se puede adivinar qué reacción va a haber aquí.
    • No parece que esto sea necesariamente solo por incentivos de lucro; por el artículo, se ve más como el lado donde hay empresas turbias explotando protocolos vulnerables.
      Es parecido a decir que, porque existen proveedores de Bulletproof hosting para spammers, entonces todo se debe a una "codicia normalizada".

  • Una de las mayores mentiras sobre el Estado de vigilancia es la idea de que se va a operar de forma profesional.
    Empleados de la NSA también espiaban a mujeres que les gustaban usando activos de vigilancia de miles de millones de dólares, al punto de que le pusieron LOVEINT.
    https://www.nbcnews.com/news/world/loveint-nsa-letter-discloses-employee-eavesdropping-girlfriends-spouses-flna8C11271620
    https://www.yahoo.com/news/nsa-staff-used-spy-tools-spouses-ex-lovers-193227203.html
    También hubo un caso entre 1998 y 2003 en el que revisaron los números de teléfono de 9 mujeres extranjeras y las comunicaciones de 1 ciudadano estadounidense.
    La humanidad nunca ha vivido antes una vigilancia total como esta, así que ni siquiera alcanzamos a imaginar bien sus consecuencias, y si encima le sumas los LLM, es todavía peor.
    Si no logramos mantener una línea muy estricta con la privacidad, siento que vamos hacia un mundo donde sobre la infraestructura estatal y corporativa de vigilancia crecen incontables infiernos personalizados.

    • No sé qué se supone que debes hacer si ni siquiera existe alguien dentro del gobierno a quien denunciarle esto.
      Ese tipo de reportes puede enterrarse con facilidad.
    • Sospecho que el mercado negro del futuro va a estar lleno de equipos personales de comunicación ilegales para recuperar la privacidad.
      Seguro ya existe alguna obra de ciencia ficción con esa premisa.
    • Este tipo de vigilancia tecnológica simplemente debería prohibirse por ley.
      Incluso si da un pequeño beneficio adicional de seguridad, el costo en invasión de privacidad y efectos secundarios imprevistos es muchísimo mayor.
    • Yo diría que ya vivimos en ese mundo.
      La discusión aquí va muy centrada en Estados Unidos, pero la mayoría de la gente del mundo vive realidades mucho más duras.
      Los pedidos de ayuda muchas veces circulan desesperadamente por WhatsApp, esperando que haya alguien conocido dentro de la plataforma.
      Si te difunden imágenes íntimas sin consentimiento, sobre todo en sociedades más conservadoras, en la práctica te pueden arruinar la vida.
      Estafas como Pig butchering son crímenes descarados, y viendo lo difícil que es incluso recuperar una cuenta o hablar con una persona de soporte, uno termina pensando si el valor de las plataformas tech no depende en el fondo de no asumir realmente los costos de soporte que ellas mismas generan.

  • Una persona que conozco fue rastreada por su exnovio acosador que trabajaba en una telefónica.
    Parecía que podía consultar la SIM por nombre y seguir obteniendo su ubicación, así que incluso cambiando de SIM y usando otro teléfono era dificilísimo escapar.
    Si denuncias algo así a la policía, a menudo te tratan como si sonara irracional y lo desestiman.

    • En las telefónicas es bastante conocido que empleados husmean la información de la gente.
      Según escuché, solo revisan y actúan cuando alguien presenta una queja diciendo que vieron sus datos.
      Hace años le pregunté a alguien de seguridad/investigación si, dado que todo queda en logs, no sería fácil detectar consultas fuera del trabajo, y me respondió que entonces tendrían que despedir a más de la mitad del personal.
      Decía que miraban continuamente PII de celebridades, amigos, enemigos, de cualquiera, y que casi se veía como una prestación informal; esto era en una gran telefónica de EE. UU. alrededor de 2010.
    • Al menos en Australia, eso es un delito, así que vale la pena denunciarlo.
      Si hay suficiente evidencia, la policía podría investigarlo y hasta presentar cargos.
    • Algunas telefónicas turbias de países pobres llegan a vender datos de SS7 por poco dinero, y con eso se puede obtener toda la ubicación que haga falta.
    • Si esa persona tenía acceso a una base de datos que mapeaba latitud/longitud con SIM, entonces incluso con un teléfono nuevo podría volver a identificar la nueva SIM buscando puntos que coincidieran con los patrones de ubicación de la SIM anterior.
      A menos que al cambiar de teléfono también te mudes de casa y jamás lleves el teléfono nuevo a lugares tranquilos donde antes llevabas el viejo, es casi imposible escapar.
    • Por eso yo llevo el teléfono sin SIM y siempre en modo avión.
      La SIM la dejo en un feature phone en casa y solo lo enciendo cuando hace falta; no es perfecto, pero es mucho mejor que el rastreo por red móvil.

  • En Rusia, esto es casi cotidiano.
    El gobierno rastrea gente a través de las telefónicas, y esos datos a veces se filtran al mercado negro, donde se pueden comprar por una suma razonable.
    Últimamente el gobierno también ha intentado frenar esas filtraciones, pero no está claro qué tanto lo ha logrado, en parte porque esos datos se usaban a menudo para que periodistas de oposición o investigadores rastrearan movimientos sospechosos del régimen.
    Esa información se cruza con múltiples bases de datos —otras telefónicas, otras SIM, hotspots Wi‑Fi, cámaras callejeras— y en la práctica hace casi imposible evitar el rastreo.
    Al final, parece muy posible que esto se extienda como estándar global.

    • Es cierto que el gobierno rastrea gente a través de las telefónicas, pero es muy probable que las bases de datos del mercado negro sean falsas en su mayoría.
    • Esto no pasa solo en Rusia; también ocurre de forma parecida en Reino Unido, Israel y Australia.
    • Ya me está dando la impresión de que simplemente hay que dejar el teléfono en casa.
    • Llevarlo al tema de Rusia suena un poco a desviar la conversación.
      El artículo trata del Reino Unido, y además parece que empresas israelíes de telecomunicaciones y vigilancia son parte central del asunto.

  • Solo con las pistas de la investigación, parece bastante probable que detrás haya una empresa comercial de geo-intelligence basada en Israel.
    Lo primero que se me viene a la mente son compañías como Circles, Cognyte y Rayzone.

  • Me intriga por qué estos países son tan fuertes en seguridad, hacking, vigilancia y 0-day.

    • Si el objetivo es influir y controlar discretamente a otros países, esas capacidades son muy útiles.
    • Como alrededor tienen muchos países hostiles, es hasta cierto punto natural que se hayan desarrollado con fuerza los servicios de inteligencia y la industria del espionaje.
      Aunque viendo la masacre actual, uno termina viendo toda esa industria de una manera completamente distinta.
    • Yo lo veo como el resultado de combinar apoyo estatal con un sistema de intercambio de inteligencia con Estados Unidos.
      Y en un eje todavía mayor está AMDOCS, que opera sistemas globales de facturación de telefónicas, con lo cual termina teniendo acceso de facto a toda la actividad de facturación.
      Creo que la UE debería ordenar esta estructura.
    • Como operan sistemas de vigilancia a gran escala, al final parece que también se vuelve posible llegar a objetivos individuales, como con los beepers explosivos.
      Parece otra cara de la larga guerra en torno a Irán, Israel y Hezbollah.

  • En el país donde vivo, como un 95% de la gente parece no preocuparse demasiado si Meta rastrea su ubicación por WhatsApp, así que siento que el interés ya se perdió hace mucho tiempo.
    Yo soy la excepción y sí valoro la privacidad; probé Facebook y WhatsApp alrededor de 2010 y los borré enseguida.
    No quiero que se construya un perfil digital sobre mí para anunciantes, y tampoco quiero entregarle mis datos personales a Google.
    Me preocupa aún más que para las empresas de vigilancia quizá sea mucho más fácil comprar datos de ubicación a Meta o Google que lidiar con datos fragmentados por cada ISP.

    • Me pregunto si de verdad hay base para afirmar que al 95% no le importa.
      Android e iOS gestionan por separado los permisos de ubicación y además dejan rastros de uso, así que rastrear sin consentimiento probablemente sería un enorme desastre de relaciones públicas si se descubriera.
    • Cuando amigos o familiares poco técnicos me preguntan, uno de los primeros consejos que les doy es desactivar el acceso a ubicación en segundo plano para todas las apps.
      Aun así, incluso entre gente técnica hay muchos que no le prestan atención.

  • Aunque pongas el teléfono para usar solo 5G, la ubicación todavía puede quedar expuesta.
    Toda la red móvil mantiene compatibilidad basada en SS7 con 2G/3G, así que si alguien intenta conectarse contigo desde una red antigua, ese camino sigue existiendo.
    Por eso también son posibles los ataques de downgrade de protocolo.
    Si quieres seguir usando red móvil y aun así aislarte, prácticamente no queda otra que usar una SIM solo de datos, manejar llamadas y mensajes únicamente con apps de internet con seguridad de extremo a extremo, y en la práctica desechar el número telefónico.
    El contraste es claro: la red móvil evolucionó como un jardín amurallado de confianza y orientado a la retrocompatibilidad, mientras que internet evolucionó para entornos no confiables y con seguridad de extremo a extremo.

    • Está realmente interesante; me pregunto si habrá material recomendado para leer más.

  • SS7 realmente parece el caso típico de un problema conocido pero nunca arreglado.
    La industria telco sabe desde hace décadas que está roto, pero en la práctica nunca ha tenido incentivos para corregirlo.
    Aunque se abuse de él, las telefónicas no cargan con la responsabilidad, los ataques casi no son visibles para el usuario final, y salir por completo de SS7 requeriría coordinación global entre cientos de operadores, así que al final no pasa nada.
    Esto se parece menos a un fallo técnico que a un fallo de coordinación sin mecanismos de imposición.
    Diameter debía ser la solución, pero viendo que las telefónicas ni siquiera implementan bien sus funciones de seguridad, el problema central nunca fue la falta de un protocolo mejor, sino una estructura en la que nadie necesita preocuparse.

  • Si abres el reporte de Citizen Lab, sale 404.
    https://citizenlab.ca/research/uncovering-global-telecom-exploitation-by-covert-surveillance-actors/