Vigilancia total: hackeando redes GSM por aire

Formas en que un hacker puede acceder a las llamadas de un usuario

En uno de los posts anteriores de nuestra saga de GSM, mencionamos la leyenda urbana sobre el robo de claves de cifrado. Esta presupone que alguien puede clonar tu tarjeta SIM sin ningún tipo de manipulación física, incluso si es un clon temporal. Sin embargo, la clave Ki está almacenada localmente en una tarjeta SIM y en la base de datos de la compañía telefónica, por lo que ni siquiera tiene que abandonar su casa. Entonces, ¿dónde está el truco?

En teoría, cualquier enemigo puede establecer una estación base pirata emitiendo una señal fuerte e imitando solicitudes legítimas a SRES (Informe Especial sobre Escenarios de Emisión), enviando solicitudes RAND aleatorias (si no estás seguro de saber de qué hablo, es momento de leer la primera parte de la historia). Utilizando este método, un hacker es capaz de calcular la Ki con ayuda del análisis de cifrado, al igual que si tuvieran acceso físico a la tarjeta SIM.

Sin embargo, este método es algo complejo: el análisis de cifrado lleva tiempo y requiere de muchas solicitudes falsas. Mientras el atacante está ocupado bombardeando a la víctima con RANDs, el propietario del teléfono objetivo podría dejar el área de cobertura de la estación base pirata, y el adversario tendría que seguir a la víctima con el equipo. Si hablamos de un ataque dirigido bien planificado, el equipo tendría que implementarse desde alguna parte de la casa. El éxito del ataque depende del algoritmo de cifrado: si la compañía telefónica utiliza COMP128v2, es posible que el hackeo no funcione.

De hecho, los ataques por aire son diseñados principalmente para permitir que un adversario espíe las conversaciones del suscriptor. Como ya sabemos, la comunicación aérea está cifrada (excepto en casos especiales, cuando el cifrado se desactiva para operaciones de las fuerzas de seguridad), por esta principal razón: para restringir la habilidad de escuchar conversaciones privadas. El cifrado utiliza un algoritmo A5 con una clave de 64 bits. El A5 tiene dos versiones: la más sustentable A5/1 y la menos resistente la A5/2, la cual es enviada sin restricciones a todos los países con “enemigos potenciales”.

Para hacerle justicia, ni siquiera un algoritmo A5/1 es de 64 bits, sino de 54 bits: los primeros diez bits son “bits bajos”, que existen por mera simplicidad. El A5/2 está diseñado para facilitar la tarea de los servicios secretos trabajando en el extranjero.

Antes, el método de para hackear el A5/1 se basaba en aplicar la fuerza bruta en los datos almacenados localmente y requería tanto tiempo que la información en cuestión perdía su relevancia antes de que el ataque se completara. Pero a día de hoy los PCs (bueno, no hoy, ya que la prueba de concepto se demostró en 2010) son fáciles de hackear en segundos y se calcula la clave con la ayuda de las llamadas “tablas arcoíris”. El conjunto de cuadros 1.7 TB puede ser almacenado en discos duros de alta capacidad que son relativamente económicos y están disponibles por doquier.

El adversario actúa pasivamente y no emite nada por aire, por lo que es casi imposible encontrarlos. El juego de herramientas completo para hackear una clave solo incluye el software Kraken con tablas arcoíris y un teléfono ligeramente “modificado” del tipo del Nokia con lámpara. Una vez teniendo estos recursos, el atacante puede espiar e interceptar las conversaciones y bloquear o alterar los mensajes de texto (así que, no consideres la autenticación de dos factores como una “fortaleza digital” para tu banca online).

Al tener la clave, el atacante también puede interceptar llamadas y hacerse pasar por la víctima. Otra capacidad puede ser la clonación dinámica. El atacante efectúa una solicitud de llamada saliente a la red celular mientras que la víctima también se encuentra comprometido en la sesión. Cuando la red envía de vuelta la solicitud de autorización, el atacante la intercepta y se la reenvía a la víctima, obteniendo la clave Kc. Y eso es todo, la sesión con la víctima ha terminado y el atacante comienza su nueva sesión con la red, tomando el lugar de la víctima.

Esto permite iniciar llamadas y otras cosas a costillas de la víctima, como enviar mensajes de texto a números premium y desviar dinero a través de programas de socios de proveedores de contenidos. Este método fue utilizado en Moscú: un grupo de personas conducía una minivan alrededor de lugares llenos de gente clonando tarjetas SIM y haciendo cargos de pequeñas cantidades a los teléfonos de la gente.

Los criminales lograron pasar desapercibidos por un largo periodo de tiempo: las operaciones deshonestas parecían provenir de los usuarios legítimos. Lo único que ayudó a identificar la estrategia de fraude fue la enorme y sospechosa cantidad de solicitudes similares a cierto proveedor de contenido premium en una misma estación base.

Para cifrar paquetes de tráfico (GPRS/EDGE), se utiliza otra clave Kc. Esta clave difiere de la clave Kc utilizada para el tráfico de voz, es calculada utilizando el mismo algoritmo – GPRS-A5, también conocido como GEA (Algoritmo de cifrado GPRS), que existe en GEA1, GEA2, y GEA3. Esto significa que uno puede incluso interceptar el tráfico de Internet móvil. Bueno, actualmente el tráfico de Internet suele ser a través de 3G o LTE, por lo que ya no es un problema tan grave. Por otro lado, la transmisión de datos 2G aún sigue utilizándose en sistemas telemáticos como cajeros automáticos, terminales de pago y similares.

Esta es una forma de prevenir este tipo de ataques: utilizando el algoritmo A5/3 más actualizado y resistente, que no es posible hackear con la ayuda de tablas arcoíris. Sin embargo, las compañías telefónicas son un poco reacias a implementar una nueva tecnología: en primer lugar, por los costos de migración, que no añaden un beneficio adicional (esto quiere decir que la inversión se gasta en algo que no es muy rentable, y esto es un fastidio para el operador mundial). En segundo lugar, la mayoría de teléfonos no soportan el algoritmo A5/3 o al menos no apropiadamente, lo que puede causar interrupciones.

En tercer lugar, el A5/3 no detendrá a los atacantes de espiar suscriptores: si los criminales utilizan una estación base que no es real, esta está capacitada para disminuir el algoritmo de cifrado utilizado por el teléfono, básicamente, ayudando a los hackers a obtener la clave (¡y la clave es la misma en todos los algoritmos!). Si la amenaza sigue ahí, ¿cuál es el objetivo de invertir más dinero y esfuerzo en migrar a un mejor algoritmo de cifrado? En cuarto lugar, es caro. Y, en quinto lugar, es insufriblemente caro.

El lado positivo de la situación es que los ataques que cubrimos hoy en día, están a punto de volverse obsoletos. La era de las tarjetas SIM virtuales y las eSIMS ya comenzó, y estos nuevos enfoques de tarjetas SIM solucionarán, por lo menos, algunos errores de seguridad que existen en las SIM actuales.

Consejos