Criminales han aprovechado las fallas en el protocolo SS7 para robar dinero de bancos europeos. De acuerdo con una investigación de Motherboard, los ladrones han utilizado este protocolo para interceptar mensajes de texto y acceder a cuentas del banco Metro Bank, de Reino Unido.
¿Cuánto se han robado? No se sabe todavía, aunque ya existe un comunicado de la institución bancaria en donde se confirman los ataques. Como es de esperarse, la respuesta oficial minimiza el hecho diciendo que solo un pequeño número de usuarios ha sido afectado sin que hayan perdido todo su dinero.
Los ataques SS7 a bancos también fueron confirmados por el Centro Nacional de Seguridad Cibernética de Reino Unido. UK Finance, una asociación comercial para bancos de ese país, dijo que están al tanto de los reportes y que los organismos de telecomunicaciones ya tomaron medidas para resolver el problema.
Operadores como Vodafone y BT han reportado que están al tanto del problema y que mantienen sus sistemas actualizados para evitar este tipo de incidentes. Del mismo modo indican que trabajan de cerca con las instituciones bancarias con el fin de proteger a los usuarios.
¿Cómo se realiza el ataque SS7?
En el caso de los bancos, el ataque es dirigido y se necesita obtener primero los datos de acceso de la víctima (phishing). Al acceder al portal, el banco envía un mensaje de texto con la verificación de dos pasos, misma que es interceptada por el atacante para poder vaciar la cuenta. Para que todo esto sea posible, el banco necesita utilizar mensajes de texto como sistema de validación.
El protocolo SS7 fue estandarizado en 1980 para soportar las llamadas telefónicas del mundo y posteriormente adoptado para las comunicaciones por mensaje de texto (SMS). El SS7 le dice a la red cómo enrutar los datos y una de sus principales deficiencias es que da por hecho que todas las comunicaciones que se envían son seguras.
Desde hace años se ha dicho que este protocolo tiene fallas de seguridad, incluso se ha vuelto el favorito de las agencias de inteligencia para espiar a sus enemigos. Cualquier persona con acceso a esta red puede escuchar conversaciones o redireccionar SMS. Debido a que es regulado por una red global de compañías de telecomunicaciones, realizar cambios es un proceso tedioso que nadie quiere seguir.
El problema del SS7 es que los mensajes de texto siguen siendo utilizados como verificación de dos pasos no solo por bancos, sino por otros servicios como correo electrónico o aplicaciones de mensajería.
Hablando de estas últimas, hace no mucho reportamos la posibilidad de suplantar identidad e iniciar conversaciones en WhatsApp o Telegram. Ambas apps cuentan con cifrado, que si bien en el caso de Telegram hizo que fuera imposible acceder al archivo de conversaciones, sí se pudo iniciar un chat nuevo haciéndose pasar por otra persona.
Los ataques por SS7 en bancos no se limitan a Reino Unido. Expertos aseguran que se hacen en escala global, sin embargo son más frecuentes en Europa. El uso de aplicaciones para validar los códigos son otra opción que algunos bancos consideran para garantizar la seguridad de sus clientes.