Las redes móviles se convierten en un objetivo de alto valor en el panorama geopolítico actual

Ha pasado más de una década desde que se demostró por primera vez que SS7, el protocolo de señalización que impulsa las redes móviles, sufre importantes vulnerabilidades que permiten rastrear a personas e interceptar llamadas y mensajes desde cualquier parte del mundo.

Se podría pensar que estas vulnerabilidades ya se habrían solucionado, pero lamentablemente no es así. Las redes móviles siguen siendo atacadas mediante protocolos de señalización, principalmente por grupos estatales y actores de amenazas que se benefician de la creciente tensión en el panorama geopolítico.

La última década ha presenciado un marcado aumento de los riesgos geopolíticos, impulsado por la competencia estratégica entre las superpotencias mundiales y la creciente fragmentación de los marcos comerciales y de seguridad globales. Hemos pasado de un mundo de cooperación internacional e integración económica a uno caracterizado por la escalada de conflictos, la inestabilidad de las alianzas, el proteccionismo económico y la competencia tecnológica.

Hoy en día, la guerra entre Rusia y Ucrania contiúa, las consecuencias del ataque de Hamás contra Israel se intensifican y la situación en el Mar de China Meridional se intensifica. Estas rivalidades impulsan el desarrollo militar, la desvinculación económica y un mayor riesgo de escalada.

En este nuevo clima geopolítico de alta tensión, muchos estados-nación con agendas geopolíticas agresivas, como Rusia o China, buscan más allá de los medios militares convencionales para fortalecer sus posiciones.

Las redes móviles constituyen objetivos atractivos para las naciones adversarias debido a su singular combinación de valor estratégico, vulnerabilidades técnicas e impacto social. Su función de facilitar la comunicación entre las personas y los servicios críticos las sitúa entre las infraestructuras nacionales más críticas. Los ataques a las redes móviles, o a través de ellas, pueden utilizarse para espionaje, campañas de desinformación o para interrumpir servicios críticos que dependen de la infraestructura de telecomunicaciones.

Los ataques de señalización apoyan el espionaje

Últimamente, hemos visto a los principales medios de comunicación publicar informes sobre ataques a gran escala a redes móviles atribuidos a grupos estatales. Por ejemplo, los ataques del tifón Salt Typhoon a proveedores de servicios estadounidenses en 2024 acapararon gran atención.

Sin embargo, a menudo ocultos al público, los ataques quirúrgicos se llevan a cabo constantemente a través de los sistemas de señalización que utilizan las redes móviles para conectar y gestionar llamadas, mensajes de texto y conexiones de datos. Mediante estos protocolos de señalización, los actores de amenazas pueden interceptar llamadas y mensajes, rastrear la ubicación de las personas, recopilar información sobre el diseño de la red y sus vulnerabilidades para futuros ataques, o interrumpir los servicios mediante ataques DoS.

La información que se puede obtener mediante ataques de señalización es sumamente relevante para los adversarios. Interceptar las comunicaciones es fundamental para recopilar información sobre funcionarios gubernamentales, militares, periodistas y disidentes políticos. Incluso sin conocer el contenido de la comunicación, los detalles de la señalización por sí solos, como quién contacta con quién, pueden revelar patrones de relaciones e indicar si se está produciendo alguna actividad relevante. Asimismo, rastrear la ubicación y los destinos de estas personas puede proporcionar a las agencias de inteligencia mucha información sobre sus actividades.

Más allá del espionaje, también hemos visto cómo las redes móviles han desempeñado un papel crucial en el establecimiento de ventajas informativas y el apoyo a las operaciones militares en la guerra de Ucrania. Enea ya ha abordado en profundidad diversos aspectos de este tema, por ejemplo, aquí.

¿Por qué siguen siendo posibles los ataques SS7 más de 10 años después?

Considerando la importancia de proteger las redes móviles desde una perspectiva de seguridad nacional, y que las vulnerabilidades del SS7 se conocen desde hace más de 10 años, ¿cómo pueden los estados adversarios seguir explotándolas para espionaje? ¿Por qué no hemos podido protegerlas adecuadamente?

El lado positivo es que se ha avanzado mucho en la seguridad de la señalización desde 2014. La GSMA ha emitido recomendaciones para la seguridad de la señalización, y muchos operadores de redes móviles (¡pero no todos!) han implementado firewalls de señalización para implementarlas. Existen iniciativas para mejorar el intercambio de inteligencia (por ejemplo, MoTIF de la GSMA), y la industria, así como los operadores individuales, han comenzado a abordar los problemas del arrendamiento de títulos globales (una práctica que utilizan los actores de amenazas para acceder a la red de señalización).

La mala noticia es que esto no ha sido suficiente. Una razón por la que no ha sido posible mitigar las vulnerabilidades de SS7 es que se diseñó bajo un supuesto de confianza: ningún acceso no autorizado sería posible y todas las partes que se comunicaban tenían buenas intenciones. Hoy en día, el acceso a la red de señalización está disponible para cualquiera dispuesto a pagar por él, incluyendo a actores de amenazas patrocinados por estados.

Dado que se trata de un problema de diseño fundamental, no es posible solucionarlo con actualizaciones de software. Además, dado que está implementado globalmente y profundamente integrado en la infraestructura de roaming internacional, tampoco es fácil de modernizar. El costo y la dificultad de reemplazar el SS7 para todo el tráfico móvil son demasiado altos, por lo que seguirá en servicio en el futuro previsible. Incluso si pudiera reemplazarse por completo…

Diameter y GTP-C, que se utilizan para señalización en redes 4G, también se basan en supuestos de confianza similares. El roaming 5G está muy retrasado y no se implementará durante muchos años, si es que se implementa, lo que significa que el roaming se seguirá realizando con señalización 3G o 4G en el futuro previsible (además, 5G tiene otros desafíos de seguridad).

Los protocolos de señalización seguirán siendo una fuente de recopilación de información y espionaje para los actores de amenazas y los estados-nación que los respaldan. La demanda de espionaje a través de redes móviles es fuerte, impulsada por conflictos y guerras. Esto debe reconocerse como una amenaza contra la infraestructura nacional crítica.

¿Qué falta para que la señalización sea segura?

Entonces, ¿cómo podemos protegernos contra ataques con motivaciones geopolíticas a nuestras redes móviles o a través de ellas?

La base para los operadores de redes móviles es implementar las recomendaciones de seguridad de señalización de la GSMA para SS7, Diameter y GTP-C. Sin embargo, SS7 y otros protocolos de señalización priorizan la interoperabilidad y la flexibilidad sobre la aplicación estricta y la seguridad.

Si bien esto tenía sentido bajo el enfoque de «jardín amurallado» para el que fue diseñado, la apertura ha generado vulnerabilidades significativas. Las amenazas se vuelven aún más sustanciales debido al ingenio de los actores de amenazas, que explotan rápidamente nuevas vulnerabilidades, incluidas las emergentes con el 5G. Esto dificulta considerablemente la seguridad, ya que siempre habrá nuevos métodos de ataque y manipulaciones que los actores de amenazas probarán.

Para contrarrestar este panorama de amenazas en constante evolución, los operadores de redes móviles deben adoptar un enfoque de seguridad proactivo y basado en inteligencia. Los firewalls de señalización deben proteger SS7, Diameter y GTP-C, a la vez que están preparados para el 5G y garantizar la protección en todas las superficies de ataque de señalización. Sin embargo, los firewalls de señalización por sí solos no son suficientes para contrarrestar a los actores de amenazas estatales que aprovechan la relativa apertura de los protocolos de señalización para encontrar nuevas formas de eludir el filtrado.

Por eso se necesita inteligencia de amenazas para mejorar las capacidades de detección. Al recopilar y analizar datos de señalización, los operadores pueden comprender quiénes son los actores de las amenazas y cómo intentan eludir los firewalls. Con acceso a datos de señalización globales, los operadores de redes móviles pueden obtener alertas tempranas sobre amenazas emergentes. Esta inteligencia debe contextualizarse para que sea procesable. No basta con comprender la existencia de una amenaza; también es necesario comprender cómo podría afectar a una red específica y cómo bloquearla. Solo así se podrán optimizar los firewalls de señalización para brindar una protección robusta.

Además, proteger la infraestructura nacional crítica es de interés nacional. Compartir información sobre amenazas con socios y agencias de seguridad nacional es esencial para construir una defensa integral de señalización y resiliencia nacional.

(datacenterdynamics.com)

Les estaremos informando con mucho más detalle, en el marco del informe especial: “Arquitecturas de IA, Machine Learning, Deep Learning, Gemelos digitales y Soluciones de valor de Cloud Computing con innovadores modelos de negocio, soluciones de IOT, IOTI, soluciones de Automatización. Ciberseguridad, Infraestructura de conectividad: redes LAN, Wifi. Buenas prácticas corporativas.», que estamos preparando para nuestra edición 214 y publicaremos en el mes de junio.

Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.