Aunque aplicaciones como Telegram y WhatsApp se están mercadeando como las aplicaciones de mensajería más seguras del mercado, expertos en seguridad revelaron que un ataque que utiliza el protocolo de telecomunicaciones SS7 permitiría al atacante hacerse pasar por un usuario y recibir mensajes que estaban destinados para otra persona.

La firma Positive Technologies publicó videos demostrando el ataque SS7 tanto a Telegram como a WhatsApp. El ataque, explicado de manera simple, consiste en hacer creer a la red telefónica que el teléfono del atacante tiene el mismo número que el teléfono del atacado. Esto permite al atacante recibir el código que le permite verificarse como un receptor válido. Aunque la aplicación posea verificación en dos pasos vía SMS, ataques recientes en Rusia e Irán han comprobado que el protocolo puede ser no sólo interceptado, sino deshabilitado de manera remota.

En el video de demostración los investigadores interceptaron el inicio de una conversación entre dos usuarios de una conversación cifrada. El hecho de que las aplicaciones utilizaran autenticación vía SMS significó que los atacantes no necesitaron romper el cifrado de la aplicación, sino que pudieron simplemente suplantar a una de las partes de la conversación.

WhatsApp ha señalado que los usuarios pueden activar la opción de "mostrar notificaciones de seguridad" en sus configuraciones, lo que les permitiría saber que el código de seguridad de su interlocutor ha cambiado. Si bien esto es cierto, apunta precisamente a lo que los investigadores intentaban demostrar, que es que las opciones por defecto de estas aplicaciones no son seguras, y son las opciones que la mayoría de los usuarios utilizan.

En el caso de Telegram, los investigadores no pudieron acceder a las conversaciones secretas a través de este ataque, pero podían crear una nueva conversación y escribir mensajes haciéndose pasar por la otra persona. En WhatsApp, no pudieron acceder a conversaciones anteriores, ya que WhatsApp no almacena el historial de la conversación.

El negocio de un ataque SS7

La explotación del protocolo SS7 parece ser un negocio lucrativo: según reportó Forbes, la compañía Ability Unlimited ofrece la capacidad de espiar cualquier teléfono del planeta a cambio de unos cuantos millones de dólares, requiriendo únicamente el número de teléfono de la víctima o su IMSI.

El protocolo SS7 (Signalling System No. 7) es en realidad un conjunto de protocolos de telefonía, desarrollado en 1975 y que continúa usándose para sostener la mayor parte de las comunicaciones telefónicas en el mundo, y que asimismo sostiene otros servicios, incluyendo el servicio de mensajería de texto (SMS). Las vulnerabilidades del protocolo SS7 no son para nada nuevas, por el contrario, en 2008 se hizo público que una falla en el protocolo permitía que cualquier usuario de telefonía móvil fuera rastreado en secreto, y es conocido que el protocolo permite reenviar llamadas, facilitando así el espionaje.

El protocolo SS7 es regulado por una red global de compañías de telecomunicaciones, lo que en la práctica significa que ninguna de ellas posee realmente el protocolo, y que la implementación de cualquier cambio es un proceso burocrático y tortuoso que enfrenta mucha resistencia. Por otra parte, algunos sostienen que las agencias de inteligencia de diversos países se oponen a la modificación del protocolo, dado que resolver las vulnerabilidades estorbaría sus capacidades de vigilancia.

El objetivo principal de la demostración es impulsar a que las empresas que desarrollan aplicaciones de mensajería no se basen en funciones del operador móvil para verificar la identidad del usuario (SMS, llamadas de voz, etcétera, es decir, todas las funciones que pueden verse comprometidas por el protocolo SS7). Mientras el protocolo no sea modificado para hacerlo menos vulnerable, la seguridad y privacidad del usuario está en las manos de las compañías que desarrollan estas aplicaciones.

Una vez más, la energía y recursos que invirtamos en nuestra privacidad debe ser directamente proporcional a las amenazas que enfrentamos, lo que significa que si usamos Telegram o WhatsApp para elegir el tipo de pizza que pediremos o mandarnos gifs de gatos, probablemente no estemos en problemas. Sin embargo, estas vulnerabilidades han puesto en riesgo a activistas y periodistas en países donde la vigilancia es un verdadero problema, y algo de lo cual quizás no estemos muy conscientes es que la vigilancia masiva gubernamental se está volviendo cada vez más omnipresente.