Las campañas que emplean proveedores comerciales de vigilancia rastrearon objetivos explotando las vulnerabilidades de la red de telefonía móvil en lo que los investigadores dijeron el jueves fue la primera vinculación de «tráfico de ataque del mundo real a la infraestructura de señalización de operadores móviles».

Los dos desconocidos detrás de las campañas imitaron las identidades de operadores de telefonía móvil con herramientas de vigilancia personalizadas, manipularon protocolos de señalización y dirigieron el tráfico a través de vías de red para ocultarse, según investigación del Citizen Lab de la Universidad de Toronto.

«Nuestros hallazgos resaltan un problema sistémico en el centro de las telecomunicaciones globales: la infraestructura del operador diseñada para permitir una conectividad internacional fluida se está aprovechando para respaldar operaciones de vigilancia encubiertas que son difíciles de monitorear, atribuir y regular», se lee en un informe publicado el jueves.

«A pesar de los repetidos informes públicos, esta actividad continúa sin cesar y sin consecuencias», escribieron Gary Miller y Swantje Lange para Citizen Lab. «El uso continuo de redes móviles, construidas sobre un modelo de estrecha confianza entre operadores y en las que confían usuarios de todo el mundo, plantea preguntas más amplias para los reguladores nacionales, los formuladores de políticas y la industria de las telecomunicaciones sobre la responsabilidad, la supervisión y la seguridad global».

Los atacantes se basaron en identificadores e infraestructura asociados con operadores de todo el mundo, incluidas redes con sede en Camboya, China, la isla autónoma de Jersey, Israel, Italia, Lesotho, Liechtenstein, Marruecos, Mozambique, Namibia, Polonia, Ruanda, Suecia, Suiza, Tailandia, Uganda y el Reino Unido.

Cambiaron entre los protocolos SS7 y Diámetro, los protocolos de señalización conocidos para 3G y 4G/la mayor parte de 5G, respectivamente, según el informe. Si bien se suponía que Diámetro era más seguro que SS7, la Comisión Federal de Comunicaciones en 2024 abrió una sonda tanto en sus vulnerabilidades como en las de SS7, y el senador Ron Wyden, demócrata por Oregon, ha pedido un informe de la Agencia de Ciberseguridad y Seguridad de la Información sobre las vulnerabilidades de las telecomunicaciones arraigadas en ambos protocolos.

Pero identificar a los proveedores utilizados en las dos campañas de vigilancia, o quién estaba detrás de ellas, estaba fuera del alcance de los investigadores.

«La realidad es que hay varios proveedores de vigilancia conocidos y malos actores en este espacio, pero dada la naturaleza opaca de los protocolos de señalización de telecomunicaciones, esos proveedores pueden operar sin revelar exactamente quiénes son realmente», escribió Ron Deibert, director de Citizen Lab, en su boletín. «Muchas de las cosas maliciosas que están haciendo se mezclan con el flujo, que de otro modo sería voluminoso, de miles de millones de mensajes normales y señales itinerantes. Son 'operadores fantasmas' dentro del ecosistema global de telecomunicaciones».

Uno de los operadores mencionados en el informe de Citizen Lab, 019 Mobile, con sede en Israel, respondió que no reconocía los nombres de host a los que se hace referencia en el informe como nodos de red de 019 Mobile y no podía atribuir la actividad de señalización que representa a la infraestructura operada por 019 Mobile.

Otro operador, claro, dijo a TechCrunch que no cede conscientemente el acceso a la señalización a organizaciones que la utilizan para rastrear personas y que ha tomado medidas preventivas para defenderse contra el uso indebido.

Claro, 019 Mobile y un tercer operador, Tango Networks UK, no respondieron a las solicitudes de comentarios de CyberScoop. El informe de Citizen Lab dio cierta gracia a los operadores.

«Es importante señalar que el hecho de que el operador señale las direcciones observadas en los ataques no implica necesariamente la participación directa del operador», afirma. «En algunos casos, el acceso al ecosistema de señalización se puede obtener a través de proveedores externos, acuerdos de arrendamiento comercial u otros servicios intermediarios que permiten a los actores enviar mensajes utilizando identificadores de operador de redes legítimas».