En el mundo de la ciberseguridad, nunca faltan los desafíos, y una nueva vulnerabilidad recientemente descubierta en los mensajes de texto ha puesto en alerta a la comunidad tecnológica.
Según el estudiante de doctorado en ciberseguridad, Evangelos Bitsikas, de la Universidad Northeastern, Estados Unidos, esta falla en el sistema de SMS podría permitir a los atacantes rastrear la ubicación de los usuarios. Su investigación ha revelado resultados alarmantes.
Rastreando ubicaciones a través de mensajes de texto
Bitsikas y su grupo de investigación aplicaron un sofisticado programa de aprendizaje automático a los datos del sistema de SMS, que ha estado presente en los teléfonos móviles desde la década de 1990. El resultado fue sorprendente: «Simplemente conociendo el número de teléfono del usuario víctima y teniendo acceso normal a la red, puede ubicar a esa víctima», según dice Bitsikas. Ello lleva a rastrear al usuario en diferentes ubicaciones alrededor del mundo, lo que plantea serias preocupaciones de privacidad y seguridad.
La seguridad de SMS ha mejorado marginalmente desde sus inicios en sistemas 2G hace tres décadas. Aunque se ha perfeccionado el recibo de entrega para notificar al remitente, esto abre una puerta para que los atacantes triangulen la ubicación de la víctima, independientemente de si las comunicaciones están encriptadas o no.
El rastro de las notificaciones de entrega automática
El grupo de Bitsikas utilizó el aprendizaje automático para desarrollar un algoritmo capaz de detectar las huellas digitales dejadas por el tiempo de cada notificación de entrega automática enviada por el teléfono. Con este método, los hackers pueden enviar múltiples mensajes de texto al teléfono celular de la víctima y, según el tiempo de las respuestas de entrega automática, triangular su ubicación.
Bitsikas advierte que esta vulnerabilidad podría ser utilizada para rastrear a líderes gubernamentales, activistas, directores ejecutivos y otras personas que deseen mantener en privado su paradero. Aunque aún no ha habido evidencia de explotación en sistemas operativos Android, es importante tomar medidas preventivas para proteger la privacidad de las personas.
El desafío de escalar el ataque
Bitsikas enfatiza que este tipo de ataque puede ser difícil de escalar. Los hackers necesitarían dispositivos Android en múltiples ubicaciones para enviar mensajes y recopilar las respuestas. Además, configurar adecuadamente el modelo de aprendizaje automático necesario para ejecutar el ataque puede ser un desafío en sí mismo.
Antes de publicar la investigación, Bitsikas compartió sus hallazgos con GSMA, una organización global de expertos en el ecosistema móvil. La organización verificó los resultados y reconoció la gravedad del problema. Si bien GSMA planea agregar contramedidas para dificultar el ataque, cerrar completamente la vulnerabilidad requeriría una revisión exhaustiva del sistema global de SMS.
Enfrentando a un enemigo poderoso
Bitsikas destaca la preocupación de que grupos de hackers, agencias patrocinadas por el estado o fuerzas policiales, con mayores recursos y experiencia en ciencia de datos, podrían utilizar esta vulnerabilidad para fines maliciosos. La dificultad de resolver este problema considerando el costo y el esfuerzo involucrado es un desafío adicional.
A pesar de los obstáculos, Bitsikas planea realizar más investigaciones que aprovechen este avance. La lucha por mantener la privacidad y seguridad en el mundo digital continúa, y es esencial que expertos y organizaciones trabajen juntos para enfrentar los desafíos emergentes en el ámbito tecnológico.