Conclusiones clave
- El Sistema de Señalización No. 7 (SS7) es un protocolo de telefonía obsoleto que puede exponer su privacidad a ciberamenazas y vigilancia.
- Las vulnerabilidades de SS7 han sido aprovechadas por delincuentes para vaciar cuentas bancarias, gobiernos para rastrear usuarios de teléfonos móviles y empresas de inteligencia para espiar a personas en todo el mundo.
- Para protegerse de las vulnerabilidades de SS7, utilice aplicaciones de mensajería seguras con cifrado de extremo a extremo como Signal o WhatsApp, ya que ofrecen mayor privacidad y seguridad que los SMS y teléfonos tradicionales. servicios.
¿Alguna vez has oído hablar del Sistema de Señalización No. 7 (SS7)? Probablemente no lo hayas hecho, pero aún lo usas a diario, al igual que todos tus conocidos. El problema es que esta tecnología está muy desactualizada y es muy insegura. Sin embargo, existen alternativas al uso de SS7 y, lo mejor de todo, son gratuitas.
¿Qué es SS7 y por qué es inseguro?
El Sistema de Señalización No. 7 es un conjunto de protocolos de telefonía que permite que las redes de telecomunicaciones se comuniquen entre sí. En cierto sentido, es un sistema de comunicación que permite a las redes telefónicas intercambiar información importante. En parte, gracias a esta tecnología, es posible realizar llamadas telefónicas, enviar mensajes de texto y utilizar servicios similares.
SS7 se introdujo por primera vez en la década de 1970 y se implementó en la red de AT&T en los Estados Unidos. Poco después, se estandarizó para uso internacional y reemplazó sistemas más antiguos en otros países del mundo. En la década de 1990, SS7 experimentó una adopción más generalizada y se convirtió en la columna vertebral de las telecomunicaciones globales.
Identificador de llamadas, desvío de llamadas y Servicio de mensajería corta (SMS) También se introdujeron en la década de 1990, mientras que las redes móviles se expandieron a nivel mundial. La integración de SS7 jugó un papel clave en este proceso y nuestra sociedad no ha sido la misma desde entonces. Pocos de nosotros podemos imaginarnos vivir en un mundo en el que es imposible enviar un mensaje de texto a un amigo que utiliza un proveedor diferente, y eso se debe en gran medida a la adopción generalizada de esta tecnología.
¿Cuál es entonces el problema con SS7? Bueno, SS7 está desactualizado y es inseguro, una reliquia de cuando las amenazas digitales no eran ni tan sofisticadas ni tan frecuentes como hoy. Al menos desde mediados de la década de 2000, las fallas de seguridad han sido evidentes y solo se han vuelto más pronunciadas con el tiempo. Esto no es una cuestión de especulación u opinión, ni es un problema que afecte sólo a una red, dispositivo o individuo específico. Estas vulnerabilidades son inherentes al propio SS7.
Cómo las vulnerabilidades de SS7 exponen su privacidad
A medida que la tecnología y el cibercrimen evolucionaban, SS7 luchaba por mantenerse al día. En los últimos años se han registrado decenas de incidentes de alto perfil y violaciones de seguridad en todo el mundo.
Por ejemplo, en 2017, un grupo de delincuentes no identificados aprovechó los agujeros de seguridad en SS7 para drenar dinero de las cuentas bancarias de las personas. Lo hicieron evitando la autenticación de dos factores que ciertos bancos usaban para evitar el acceso no autorizado y proteger a los clientes, según Ars Técnica. En ese momento, el representante del Congreso estadounidense, Ted Lieu, pidió al gobierno federal que corrigiera estos defectos "devastadores", diciendo que es "inaceptable que la FCC y la industria de las telecomunicaciones no hayan actuado antes para proteger nuestra privacidad y finanzas". seguridad."
Similarmente, El Correo de Washington informó en 2014 que una vulnerabilidad SS7 permite a las entidades gubernamentales rastrear a los usuarios de teléfonos móviles en tiempo real. Un informante dijo al medio que "docenas" de países estaban haciendo esto, mientras que los expertos en seguridad señalaron que nada impide que los grupos de hackers y organizaciones similares hagan lo mismo. En 2020, un denunciante reveló que Arabia Saudita estaba explotando estas mismas vulnerabilidades para rastrear a sus ciudadanos en los Estados Unidos, según El guardián.
Un 2020 Haaretz Mientras tanto, la investigación encontró que la firma privada de inteligencia israelí Rayzone Group estaba abusando de las fallas en SS7 para rastrear a personas en todo el mundo en nombre de sus clientes. Alrededor de un año después, el director ejecutivo de una empresa de tecnología suiza centrada en los mensajes de texto automatizados aprovechó estas mismas vulnerabilidades para espiar a las personas, según el Oficina de Periodismo de Investigación.
Tenga en cuenta que esto es sólo la punta del iceberg: es evidente que SS7 es inseguro y extremadamente vulnerable a la explotación. Esta es la razón por no deberías usar SMS Para proteger su privacidad, asuma que cualquier cosa que envíe por mensaje de texto puede ser interceptada y leída por su gobierno o casi cualquier otra persona con las herramientas y la experiencia adecuadas.
Pero la verdadera pregunta es: ¿por qué no se hace nada para abordar las vulnerabilidades de SS7? Los operadores y las redes móviles ciertamente los conocen; Los expertos en seguridad los conocen desde hace mucho tiempo, al igual que los políticos. De hecho, algunos han hablado abiertamente de ellos, como Lieu, e instaron a los organismos reguladores a tomar medidas. Sin embargo, nada ha cambiado. Cuando El registro Al informar sobre esto, concluyeron que "tal vez a los servicios de inteligencia de Estados Unidos les guste la idea de que, para ellos, las redes sean fácilmente comprometidas".
Sin embargo, cabe señalar que esta es sólo una posible explicación que puede responder sólo parcialmente a la pregunta. SS7 es una infraestructura heredada, y hacer cambios radicales probablemente requeriría cooperación internacional y la despliegue e implementación de nuevas tecnologías, lo que requeriría mucho tiempo y recursos financieros. inversión. En resumen, simplemente no existen los incentivos para realizar los cambios necesarios.
Qué puede hacer para protegerse de las vulnerabilidades SS7
Si SS7 es omnipresente, ¿qué puede hacer la gente corriente para protegerse? Una solución sencilla es utilizar aplicaciones de mensajería seguras para mensajes de texto y llamadas telefónicas, ya que ofrecen una capa de protección que no se encuentra en los servicios telefónicos y de SMS tradicionales respaldados por SS7.
Estas aplicaciones utilizan tecnología mucho más segura y privada que SS7, pero si desea hacer un esfuerzo adicional, considere utilizando una aplicación de mensajería cifrada de extremo a extremo: el cifrado de extremo a extremo garantiza que sus comunicaciones estén a salvo de escuchas a escondidas. Hay docenas de aplicaciones de este tipo en el mercado y muchas de ellas son completamente gratuitas. La señal es posiblemente la aplicación de mensajería más segura disponible hoy en día, pero WhatsApp no se queda atrás.
Signal es de código abierto, cuenta con un potente algoritmo de cifrado y es increíblemente seguro. WhatsApp, por otro lado, es probablemente la mejor opción para aquellos que quieren una aplicación sencilla y fácil de usar con la que todo el mundo esté familiarizado y que ya tenga en su teléfono. Sin embargo, algunos se alejan de WhatsApp, ya que es propiedad de Meta (la empresa matriz de Facebook e Instagram) y creen que tiene problemas de privacidad.
A pesar de los problemas evidentes, el SS7 no irá a ninguna parte
SS7 está desactualizado y tiene muchos defectos, pero no irá a ninguna parte. Al menos por ahora, no hay indicios de que la industria de las telecomunicaciones vaya a eliminarlo gradualmente. Hasta que SS7 sea reemplazado por una tecnología mejor y más segura, haga lo que pueda para proteger su privacidad.
Por supuesto, no siempre es posible evitar el uso de SMS o realizar una llamada, pero instalar una aplicación de comunicación con cifrado de extremo a extremo es un buen comienzo. En cualquier caso, mantenerse a salvo de la vigilancia y otras amenazas requiere un compromiso serio y sostenido con la higiene y la seguridad digitales.
