_
_
_
_
Reportaje:

Su m¨®vil es tan o m¨¢s inseguro que su PC

Un reputado cript¨®grafo muestra que bastan un viejo celular y un 'software' gratuito para interceptar charlas y mensajes en la red GSM - La baja percepci¨®n de riesgo dispara la vulnerabilidad

Para espiar la comunicaci¨®n entre un m¨®vil GSM y su operadora basta con un Motorola de hace siete a?os y un programa que cualquiera se descarga de Internet. Seg¨²n el cript¨®grafo berlin¨¦s Karsten Nohl, estas herramientas no s¨®lo permiten escuchar conversaciones y leer SMS ajenos, sino incluso emular un tel¨¦fono y su tarjeta SIM. M¨¢s del 80% de los m¨®viles en el mundo operan en GSM.

La gente cree que est¨¢ m¨¢s expuesta a los cibercriminales en el ordenador que en el celular por "desconocimiento de los problemas de las comunicaciones y m¨®viles, y porque tampoco se han producido todav¨ªa ataques espectaculares que hayan saltado a los medios, salvo quiz¨¢s el robo de fotos en el terminal de Scarlett Johansson", sostienen David P¨¦rez y Jos¨¦ Pic¨® expertos en seguridad, fundadores de la empresa espa?ola Taddong y autores de Hacking y seguridad en comunicaciones m¨®viles GSM/GPRS/UMTS/LTE.

Los ataques a m¨®viles ya no son anecd¨®ticos, como hace a?os
M¨¢s del 80% de los m¨®viles en el mundo operan en GSM
"Es m¨¢s f¨¢cil perder el tel¨¦fono con todos los datos", dice un experto
Deutsche Telekom asegura que no tiene constancia de incidentes concretos
Desde 1998, la tecnolog¨ªa GSM est¨¢ "muerta" para los profesionales
El 90% de los ordenadores lleva antivirus frente al 12% de los m¨®viles
M¨¢s informaci¨®n
C¨®mo blindarse ante los intrusos

?Es el m¨®vil tan inseguro o m¨¢s que el PC? "Depende del tel¨¦fono, del ordenador y del sistema operativo. Y tambi¨¦n del usuario (unos buenos h¨¢bitos son la mejor defensa). A medida que los m¨®viles son m¨¢s inteligentes los problemas de seguridad se asemejan a los del PC, no en vano empiezan a ser verdaderos ordenadores de mano", dice Bernardo Quintero, director de la empresa espa?ola Hispasec.

El consultor de seguridad en Kaspersky Lab, Bosco Espinosa, considera al m¨®vil m¨¢s d¨¦bil. De entrada, por su tama?o: "Es m¨¢s f¨¢cil perderlo o que lo roben con todos los datos, contrase?as incluidas, que lleva dentro". Otro dato: mientras el 90% de los ordenadores tienen antivirus y cortafuegos, solo el 12% de los smartphones llevan protecci¨®n.

Desde que en 2009 descifr¨® los algoritmos que protegen las comunicaciones con GSM, Nohl dice que "las operadoras se defienden con tres argumentos: dicen que es imposible, que si fuera posible ser¨ªa muy complicado y que si alguien pudiera no lo har¨ªa, porque es ilegal". Cerrando la tapa de su port¨¢til de aluminio, el inform¨¢tico de 30 a?os re¨ªa en una cafeter¨ªa pr¨®xima al Centro de Congresos de Berl¨ªn (BCC): "Usted dir¨¢ cu¨¢ntas contradicciones hay en el razonamiento". Nohl sostiene que las operadoras de m¨®viles no protegen suficientemente del espionaje ni de las estafas a los clientes.

Al otro lado de Alexanderplatz, cientos de expertos en inform¨¢tica convocados por el congreso anual del Chaos Computer Club asistieron la noche del martes a la presentaci¨®n de sus investigaciones m¨¢s recientes. Vali¨¦ndose de un m¨®vil "que cuesta 10 euros" y que program¨® con el software libre Osmocom, Nohl es capaz de "emular el m¨®vil de otra persona sin tener que acceder al aparato en s¨ª". La clave est¨¢ en el intercambio de comunicaci¨®n que un m¨®vil lleva a cabo con la operadora justo antes de establecer una llamada. Durante un segundo, aparato y centralita intercambian una serie de mensajes codificados que "casi siempre siguen el mismo patr¨®n". Se?alando varias series num¨¦ricas en la pantalla de su ordenador, Nohl explicaba que "cada serie tiene un significado concreto, como llamada entrante o fin de la comunicaci¨®n".

En particular esta ¨²ltima se repite "casi siempre sin variaci¨®n". Esto permite al esp¨ªa o al delincuente "predecir el contenido del mensaje y as¨ª, descifrarlo". Logrado esto "en cuesti¨®n de segundos", el atacante tendr¨¢ acceso a la conversaci¨®n subsiguiente y a todas las que se realicen con la misma codificaci¨®n. Adem¨¢s le servir¨¢ para hacerse con el c¨®digo de la tarjeta SIM y emular as¨ª el tel¨¦fono atacado. Entonces podr¨¢ enviar mensajes de texto y hacer llamadas haci¨¦ndose pasar por el otro tel¨¦fono. Seg¨²n Nohl, "las medidas de protecci¨®n que deber¨ªan tomar las operadoras son sencillas y baratas". ?Por qu¨¦ no las toman? "Creo que se les presiona poco y por eso presento esta investigaci¨®n". Ha abierto una web (http://gsmmap.org) donde se puede seguir el resultado de las pesquisas, pa¨ªs por pa¨ªs y operadora por operadora. Asegura que no tiene intereses econ¨®micos. M¨¢s all¨¢ de "la publicidad para mi consultora y los contactos que me permite hacer, para m¨ª esto es un hobby".

La organizaci¨®n de operadores m¨®viles GSMA public¨® el martes una nota de prensa previa al informe de Nohl. Poni¨¦ndose el parche antes de la herida, la asociaci¨®n de empresas que usan GSM se defiende primero, para despu¨¦s asegurar que "si lo necesitaran, las operadoras de m¨®viles pueden alterar las configuraciones para hacer considerablemente m¨¢s dif¨ªcil", todo ello "en un corto plazo de tiempo y sin afectar al uso". Entonces ?Por qu¨¦ no lo hacen?

En la mayor operadora alemana, Deutsche Telekom, aseguran que "no hay constancia" de que este tipo de ataques se hayan llevado a cabo. Respecto al informe de Nohl, el portavoz Philipp Blank asegura que "Telekom no lo tiene", as¨ª que no puede "decir nada concreto". Sin embargo, Blank a?ade que Telekom "ha salido bien parada" en comparaci¨®n con otras operadoras centroeuropeas. La lucha contra los ataques a las redes "es constante y nunca se puede dar por ganada". Pero en Telekom no creen "que sea tan f¨¢cil de hacer como dice Nohl: se necesitan aparatos adecuados y muy caros, muchos conocimientos y una considerable energ¨ªa criminal para conseguirlo".

Quintero discrepa: "Parece que Nohl ha encontrado una nueva forma de atacar GSM de forma m¨¢s f¨¢cil e incluso a gran escala. Se podr¨ªan enviar SMS o hacer llamadas suplantando los tel¨¦fonos de usuarios leg¨ªtimos, que lo ver¨ªan reflejado en sus facturas)".

La tecnolog¨ªa GSM lleva desde 1998 "muerta" para los profesionales de la seguridad, cuando se desvelaron diversas t¨¦cnicas para hacerse pasar por cualquiera que la use, por debilidades en sus algoritmos criptogr¨¢ficos.

Las operadoras de m¨®vil suelen referirse a la asociaci¨®n GSMA como responsable de la seguridad en el est¨¢ndar GSM. La nota de prensa de GSMA termina, no obstante, sugiriendo a "los clientes preocupados por la seguridad" que "contacten con sus respectivas operadoras para m¨¢s informaci¨®n".

Movistar, Vodafone, Orange y Yoigo se remitieron ayer al defensivo comunicado de GSMA: "La GSMA y los operadores de redes m¨®viles tienen confianza en la seguridad de las redes existentes 2G GSM, y los ataques reales en redes reales frente a los clientes reales es muy poco probable", dijo en el comunicado, agregando que las nuevas tecnolog¨ªas (UMTS, LTE) son a¨²n m¨¢s seguras y no se ven afectada por la nueva investigaci¨®n", informa Ram¨®n Mu?oz.

Probable o no, GSM tiene dos grandes problemas en sus protocolos de comunicaciones, con lo que no solo afectan a los tel¨¦fonos sino a todos aquellos aparatos que se conectan a esa red, sea un smartphone o un port¨¢til, explican P¨¦rez y Pic¨®.

Por un lado, el algoritmo A5/1, que cifra las comunicaciones de voz, ha sido roto. "Es muy f¨¢cil que un atacante pueda escuchar una comunicaci¨®n que en teor¨ªa va cifrada, porque se puede descifrar". Este fallo permite adem¨¢s "suplantar al usuario del tel¨¦fono para hacer y recibir llamadas, etc...", dice Pic¨®. Por el otro, cualquier atacante puede suplantar la estaci¨®n base del operador de telecomunicaciones, "porque el protocolo GSM no define ning¨²n mecanismo para que el m¨®vil compruebe la autenticidad de la red. Es decir, el tel¨¦fono no puede saber si la red a la que se est¨¢ conectando es aut¨¦ntica o falsa". Esto implica, seg¨²n P¨¦rez, que "el tr¨¢fico de voz y datos enviado y recibido por el m¨®vil puede ser comprometido, permitiendo la interceptaci¨®n de las comunicaciones, grabar conversaciones, redirigir llamadas salientes simulando que es un call center de banca electr¨®nica...". En cambio, explican, la tecnolog¨ªa 3G, que cubre el 70% del territorio espa?ol, principalmente las zonas urbanas, es "a d¨ªa de hoy m¨¢s segura, porque no tiene los mismos fallos que el GSM". De entrada, la norma est¨¢ mejor definida, porque exige que el terminal autentifique a la red (verifique su autenticidad) y el m¨¦todo de cifrado de las comunicaciones de voz, A5/3, a¨²n no ha sido roto", se?ala Pic¨®.

Hasta hace unos a?os los ataques a m¨®viles eran anecd¨®ticos. Los aparatos eran simples y hab¨ªa una gran diversificaci¨®n e incompatibilidades entre el firmware y/o sistemas operativos de los distintos modelos. Es decir, un c¨®digo pod¨ªa ejecutarse en un m¨®vil pero no en otro aunque fuera de la misma marca. Sin embargo, ya "se ha identificado un c¨®digo malicioso para cualquier aparato m¨®vil y sistema operativo. Hay plataformas m¨¢s seguras que otras, pero todos tienen vulnerabilidades", asegura Miguel Su¨¢rez, responsable de seguridad de Symantec Espa?a.

La aparici¨®n de sistemas operativos como Android (Google) o iOS (Apple) suponen una homogeneizaci¨®n del software que ejecutan los tel¨¦fonos, de forma que un programa malicioso preparado para Android lo har¨¢ de forma independiente al modelo o marca del m¨®vil y tableta. Y esto posibilita, seg¨²n Quintero, "que se puedan realizar ataques a mayor escala (un mismo c¨®digo infectar¨ªa a muchos m¨®viles diferentes de forma indiscriminada)". Adem¨¢s, a los malos les interesa m¨¢s el smartphone que el viejo m¨®vil porque "mientras uno contiene datos golosos y tiene m¨¢s v¨ªas de comunicaci¨®n por las que infiltrarse, sea la red inal¨¢mbrica wifi, Bluetooth o el protocolo GSM; el otro b¨¢sicamente almacenaba contactos", a?ade Espinosa.

El m¨®vil pues es tan o m¨¢s vulnerable que el PC y se puede infectar a trav¨¦s de los protocolos GSM o Bluetooth, los SMS y hasta mediante las tiendas de aplicaciones. Los riesgos, desde la "ingenier¨ªa social por SMS hasta ataques de troyanos (por ejemplo, que creyendo que estamos instalando un juego, en realidad se introduce un c¨®digo que esp¨ªa nuestra informaci¨®n y la env¨ªa a terceros). Uno de estos troyanos es SpyEye: "Cuando realizamos una transferencia por Internet el banco nos env¨ªa una clave por SMS que tenemos que introducir en la web para verificar que somos nosotros. Estos troyanos, una vez instalados en el m¨®vil, son capaces de interceptar los SMS y permite al atacante realizar transferencias de dinero de forma ileg¨ªtima", explica Quintero.

Mientras se convive entre GSM y 3G "el usuario deber¨ªa configurar el tel¨¦fono para que solo se conecte con la red 3G. Sin embargo, hay aparatos, como iPhone, que no lo permiten. Lo que es una ventaja para el abonado, porque es el terminal el que elige la red a la que se conecta en funci¨®n de la disponibilidad de cobertura, supone un mayor riesgo para la seguridad", explica P¨¦rez.

En el m¨®vil, como en el PC, es "extremadamente" dif¨ªcil detectar si un cracker se ha infiltrado, concluye P¨¦rez: "Hasta a nosotros, que somos expertos, nos costar¨ªa mucho. Como nunca sabes a ciencia cierta si el equipo ha sido o est¨¢ siendo atacado, y por eso tenemos todos sistemas de protecci¨®n en nuestros ordenadores, lo mismo deber¨ªamos hacer con los tel¨¦fonos". Bloquean y borran informaci¨®n, geolocalizan el aparato (si tiene GPS) y algunos, hasta detectan, si se ha cambiado la SIM, qu¨¦ nuevo n¨²mero utiliza. Por desgracia, confiesa Su¨¢rez, "protegen de ciertas posibilidades, pero todav¨ªa no cubren tanto como los de ordenador".

Los troyanos, una vez instalados en el m¨®vil, son capaces de interceptar los SMS y realizar transferencias ilegales de dinero.
Los troyanos, una vez instalados en el m¨®vil, son capaces de interceptar los SMS y realizar transferencias ilegales de dinero.C. MANUEL

Tu suscripci¨®n se est¨¢ usando en otro dispositivo

?Quieres a?adir otro usuario a tu suscripci¨®n?

Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.

?Por qu¨¦ est¨¢s viendo esto?

Flecha

Tu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.

En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.

Archivado En

Recomendaciones EL PA?S
Recomendaciones EL PA?S
Recomendaciones EL PA?S
_
_
seductrice.net
universo-virtual.com
buytrendz.net
thisforall.net
benchpressgains.com
qthzb.com
mindhunter9.com
dwjqp1.com
secure-signup.net
ahaayy.com
tressesindia.com
puresybian.com
krpano-chs.com
cre8workshop.com
hdkino.org
peixun021.com
qz786.com
utahperformingartscenter.org
worldqrmconference.com
shangyuwh.com
eejssdfsdfdfjsd.com
playminecraftfreeonline.com
trekvietnamtour.com
your-business-articles.com
essaywritingservice10.com
hindusamaaj.com
joggingvideo.com
wandercoups.com
wormblaster.net
tongchengchuyange0004.com
internetknowing.com
breachurch.com
peachesnginburlesque.com
dataarchitectoo.com
clientfunnelformula.com
30pps.com
cherylroll.com
ks2252.com
prowp.net
webmanicura.com
sofietsshotel.com
facetorch.com
nylawyerreview.com
apapromotions.com
shareparelli.com
goeaglepointe.com
thegreenmanpubphuket.com
karotorossian.com
publicsensor.com
taiwandefence.com
epcsur.com
southstills.com
tvtv98.com
thewellington-hotel.com
bccaipiao.com
colectoresindustrialesgs.com
shenanddcg.com
capriartfilmfestival.com
replicabreitlingsale.com
thaiamarinnewtoncorner.com
gkmcww.com
mbnkbj.com
andrewbrennandesign.com
cod54.com
luobinzhang.com
faithfirst.net
zjyc28.com
tongchengjinyeyouyue0004.com
nhuan6.com
kftz5k.com
oldgardensflowers.com
lightupthefloor.com
bahamamamas-stjohns.com
ly2818.com
905onthebay.com
fonemenu.com
notanothermovie.com
ukrainehighclassescort.com
meincmagazine.com
av-5858.com
yallerdawg.com
donkeythemovie.com
corporatehospitalitygroup.com
boboyy88.com
miteinander-lernen.com
dannayconsulting.com
officialtomsshoesoutletstore.com
forsale-amoxil-amoxicillin.net
generictadalafil-canada.net
guitarlessonseastlondon.com
lesliesrestaurants.com
mattyno9.com
nri-homeloans.com
rtgvisas-qatar.com
salbutamolventolinonline.net
sportsinjuries.info
wedsna.com
rgkntk.com
bkkmarketplace.com
zxqcwx.com
breakupprogram.com
boxcardc.com
unblockyoutubeindonesia.com
fabulousbookmark.com
beat-the.com
guatemala-sailfishing-vacations-charters.com
magie-marketing.com
kingstonliteracy.com
guitaraffinity.com
eurelookinggoodapparel.com
howtolosecheekfat.net
marioncma.org
oliviadavismusic.com
shantelcampbellrealestate.com
shopleborn13.com
topindiafree.com
v-visitors.net
djjky.com
053hh.com
originbluei.com
baucishotel.com
33kkn.com
intrinsiqresearch.com
mariaescort-kiev.com
mymaguk.com
sponsored4u.com
crimsonclass.com
bataillenavale.com
searchtile.com
ze-stribrnych-struh.com
zenithalhype.com
modalpkv.com
bouisset-lafforgue.com
useupload.com
37r.net
autoankauf-muenster.com
bantinbongda.net
bilgius.com
brabustermagazine.com
indigrow.org
miicrosofts.net
mysmiletravel.com
selinasims.com
spellcubesapp.com
usa-faction.com
hypoallergenicdogsnames.com
dailyupdatez.com
foodphotographyreviews.com
cricutcom-setup.com
chprowebdesign.com
katyrealty-kanepa.com
tasramar.com
bilgipinari.org
four-am.com
indiarepublicday.com
inquick-enbooks.com
iracmpi.com
kakaschoenen.com
lsm99flash.com
nana1255.com
ngen-niagara.com
technwzs.com
virtualonlinecasino1345.com
wallpapertop.net
casino-natali.com
iprofit-internet.com
denochemexicana.com
eventhalfkg.com
medcon-taiwan.com
life-himawari.com
myriamshomes.com
nightmarevue.com
healthandfitnesslives.com
androidnews-jp.com
allstarsru.com
bestofthebuckeyestate.com
bestofthefirststate.com
bestwireless7.com
britsmile.com
declarationintermittent.com
findhereall.com
jingyou888.com
lsm99deal.com
lsm99galaxy.com
moozatech.com
nuagh.com
patliyo.com
philomenamagikz.net
rckouba.net
saturnunipessoallda.com
tallahasseefrolics.com
thematurehardcore.net
totalenvironment-inthatquietearth.com
velislavakaymakanova.com
vermontenergetic.com
kakakpintar.com
begorgeouslady.com
1800birks4u.com
2wheelstogo.com
6strip4you.com
bigdata-world.net
emailandco.net
gacapal.com
jharpost.com
krishnaastro.com
lsm99credit.com
mascalzonicampani.com
sitemapxml.org
thecityslums.net
topagh.com
flairnetwebdesign.com
rajasthancarservices.com
bangkaeair.com
beneventocoupon.com
noternet.org
oqtive.com
smilebrightrx.com
decollage-etiquette.com
1millionbestdownloads.com
7658.info
bidbass.com
devlopworldtech.com
digitalmarketingrajkot.com
fluginfo.net
naqlafshk.com
passion-decouverte.com
playsirius.com
spacceleratorintl.com
stikyballs.com
top10way.com
yokidsyogurt.com
zszyhl.com
16firthcrescent.com
abogadolaboralistamd.com
apk2wap.com
aromacremeria.com
banparacard.com
bosmanraws.com
businessproviderblog.com
caltonosa.com
calvaryrevivalchurch.org
chastenedsoulwithabrokenheart.com
cheminotsgardcevennes.com
cooksspot.com
cqxzpt.com
deesywig.com
deltacartoonmaps.com
despixelsetdeshommes.com
duocoracaobrasileiro.com
fareshopbd.com
goodpainspills.com
hemendekor.com
kobisitecdn.com
makaigoods.com
mgs1454.com
piccadillyresidences.com
radiolaondafresca.com
rubendorf.com
searchengineimprov.com
sellmyhrvahome.com
shugahouseessentials.com
sonihullquad.com
subtractkilos.com
valeriekelmansky.com
vipasdigitalmarketing.com
voolivrerj.com
zeelonggroup.com
1015southrockhill.com
10x10b.com
111-online-casinos.com
191cb.com
3665arpentunitd.com
aitesonics.com
bag-shokunin.com
brightotech.com
communication-digitale-services.com
covoakland.org
dariaprimapack.com
freefortniteaccountss.com
gatebizglobal.com
global1entertainmentnews.com
greatytene.com
hiroshiwakita.com
iktodaypk.com
jahatsakong.com
meadowbrookgolfgroup.com
newsbharati.net
platinumstudiosdesign.com
slotxogamesplay.com
strikestaruk.com
trucosdefortnite.com
ufabetrune.com
weddedtowhitmore.com
12940brycecanyonunitb.com
1311dietrichoaks.com
2monarchtraceunit303.com
601legendhill.com
850elaine.com
adieusolasomade.com
andora-ke.com
bestslotxogames.com
cannagomcallen.com
endlesslyhot.com
iestpjva.com
ouqprint.com
pwmaplefest.com
qtylmr.com
rb88betting.com
buscadogues.com
1007macfm.com
born-wild.com
growthinvests.com
promocode-casino.com
proyectogalgoargentina.com
wbthompson-art.com
whitemountainwheels.com
7thavehvl.com
developmethis.com
funkydogbowties.com
travelodgegrandjunction.com
gao-town.com
globalmarketsuite.com
blogshippo.com
hdbka.com
proboards67.com
outletonline-michaelkors.com
kalkis-research.com
thuthuatit.net
buckcash.com
hollistercanada.com
docterror.com
asadart.com
vmayke.org
erwincomputers.com
dirimart.org
okkii.com
loteriasdecehegin.com
mountanalog.com
healingtaobritain.com
ttxmonitor.com
nwordpress.com
11bolabonanza.com