Investigadores de Security Research Labs desarrollaron con éxito un kit para espiar redes GSM. Lo presentaron en el mejor lugar posible, durante la conferencia anual del legendario Chaos Computer Club: la 27C3 llevada a cabo en Alemania esta semana. El archivo PDF con los slides de la presentación inicia citando a la GSMA:

Una llamada GSM tiene que ser identificada y grabada desde la interfaz de radio [...] tenemos la fuerte sospecha de que el equipo que intenta interceptarlas ha menospreciado la complejidad práctica. Un hacker debería contar con el sistema radio receptor y el software de procesamiento de señales necesario para procesar lo datos en bruto.

Esos hackers, quienes ya habían mostrado algunos avances durante la BlackHat 2010, contestaron así a esos desalentadores comentarios:

Esta charla da a conocer herramientas de bajo costo para capturar, descifrar y analizar llamadas y SMS de redes GSM

¿Cuál es la motivación de los investigadores-hackers? Advertir sobre la falta de actualización en los estándares de seguridad para voz y texto, que datan de 1990. Más grave aún dado que GSM posee 80% de la cuota de mercado, con presencia en más de 200 países y unos 5 mil millones de usuarios. La recomendación es hacer que la red GSM sea utilizada teniendo en mente que no es confiable, igual que Internet.

Estos son los pasos y herramientas para analizar llamadas GSM:

  1. Capturar y grabar los datos del aire: GNURadio y USRP

  2. Procesar los datos: Airprobe (guía para hacerlo)

  3. Descifrar las llaves A5/1: Kraken

  4. Obtener la "voz": Airprobe

Nohl, uno de los desarrolladores, comentó a la BBC que los equipos comerciales de espionaje de llamadas cuestan cerca de $55.000 (40.000 euros). El kit mostrado en Berlín incluye, entre otras cosas menores, un par de móviles Motorola a $14 (10 euros) cada uno.

Así que, regla número uno de las redes de telecomunicación: alguien puede estar escuchando. O dicho de otra manera: no confíes en tu móvil.