Ah, el Chaos Computer Club, cuna de grandes hackers, ideas y un congreso anual: Chaos Communication Congress, que estos días celebra su edición número 28 (también llamado 28C3). En éste hemos visto la presentación de hackings impresionantes y ponentes de talla mundial. Fue justamente hace un año cuando hablamos de unos investigadores que presentaron en el 27C3 un kit de código abierto para espiar telefonía GSM. Traigo este asunto a la memoria porque hace unas horas esos mismos investigadores dieron a conocer un método para tomar el lugar de otros en una red GSM.
¿Qué significa eso? Según Karsten Nohl y Luca Melette, los hackers de Security Research Labs, significa que con ayuda de software de código abierto desarrollado por ellos mismos (OsmocomBB) y un teléfono sencillo es posible “tomar” otros teléfonos móviles GSM y a razón de esto hacer llamadas, enviar mensajes de texto, e incluso revisar el buzón de voz del número teléfonico en cuestión.
Resulta que cada vez que hacemos llamadas bajo una red GSM, ésta asigna de forma automática una llave secreta y un identificador temporales al dispositivo móvil. Luego de capturar una conversación con la tecnología de espionaje GSM antes mencionada, es posible descifrar ese par de datos y usarlos para hacerse pasar por el móvil espiado. Los hackers cuentan que este método es factible principalmente porque el cifrado GSM (2G) es débil. Tranquilos: no sucede lo mismo con redes 3G y 4G (por ahora).
Aunque este tipo de hacks no son del todo nuevos, lo cierto es que hay pocas precauciones al respecto. Nohl comenta:
Un mónton de personas me dicen que nunca hablan nada interesante en sus teléfonos… Así que la intercepción de sus llamadas no les afecta. Ahora, finalmente, esto sí.
Los hackers exhortan a las operadores a mejorar sus estándares de cifrado y ofrecen varios consejos en ese sentido. Se sabe que hace un par de años que el cifrado debió mejorar, pero el proceso es lento y burocrático.
Recordemos que 80% del mercado móvil a nivel mundial usa redes GSM: tres mil millones de móviles, aproximadamente.
No hay comentarios:
Publicar un comentario