CNET también está disponible en español.

Ir a español

Don't show this again

Móvil

Un ciberataque a operadoras móviles deja muchas vulnerabilidades

Un grupo de hackers se infiltró en la red de docenas de operadores de telefonía móvil en el mundo, informó la firma de seguridad Cybereason. Al parecer, ningún operador estadounidense fue afectado, pero eso podría cambiar.

data-privacy-security-hackers-hacking-0964

Investigadores de seguridad descubrieron que piratas informáticos han afectado a más de una docena de operadores telefónicos desde 2012.

James Martin/CNET

Piratas informáticos se han infiltrado discretamente en más de una docena de operadores móviles en todo el mundo, ganando control total de las redes sin que las compañías se enteren. Los hackers han estado usando ese acceso durante los pasados siete años para robar información sensible, pero tienen tanto control que podrían cerrar las comunicaciones en cualquier momento, según Cybereason, una firma dedicada a la seguridad con sede en Boston. 

El martes 25 de junio, Cybereason dijo que que ha estado investigando la campaña, conocida como Operación Soft Cell, mediante la cual los hackers escogieron y atacaron operadores telefónicos en Europa, Asia, África y el Medio Oriente. Los piratas informáticos se infiltraron en múltiples operadores móviles desde 2012, ganando el control y haciéndose de cientos de gigabytes de información de los usuarios. 

Esto constituye una potencial vulneración masiva —con consecuencias aún por verse— en tanto que compañías en diferentes industrias intentan proteger la información de sus clientes. Los hackers también tenían acceso privilegiado para hacer más que solo robar información.

"Tienen los nombres de usuario y contraseñas, y crearon muchos privilegios de dominio para ellos mismos, con más de un usuario", dijo Amit Serper, jefe de investigación de seguridad de Cybereason. "Ellos pueden hacer lo que quieran. Dado que tienen ese acceso, podrían apagar la red mañana si quisieran".

Robo de gigabytes de información

Los ciberataques contra infraestructura son una preocupación de seguridad nacional; los hackers han encontrado maneras de cerrar redes de energía eléctrica y acceso a presas. El Departamento de Seguridad Nacional de Estados Unidos ha creado su propio centro para lidiar con ataques a infraestructura, que es conocido como un objetivo constante de hackers. Si un ataque derrumba las redes telefónicas, se podría generar una alteración masiva.

Serper dijo que no había encontrado ningún operador estadounidense afectado, pero la campaña de ataques cibernéticos está en marcha y eso podría cambiar. 

Una persona familiarizada con los planes de uno de los más grandes operadores móviles de Estados Unidos dijo que la compañía está consciente de los ciberataques y está tomando sus precauciones en contra de una posible vulneración.

Cybereason screenshot showing real-time geolocation sites in the US.

Piratas informáticos robaron cientos de gigabytes de información de llamadas, lo que incluye información sensible como geolocalización en tiempo real.

Cybereason

Aunque podían interrumpir las señales de la red, los hackers estaban más centrados en el espionaje, según lo descubierto por Cybereason.

Después de obtener acceso a los servidores internos de los operadores de telefonía móvil, los piratas informáticos tendrían acceso a los registros de información de llamadas de cientos de millones de usuarios. Eso les daría información como datos de geolocalización, registros de llamadas y registros de mensajes de texto.

Aun cuando los hackers tuvieron acceso a los datos de millones de personas, habían robado datos de menos de 100 víctimas seleccionadas. Es probable que los atacantes se enfocaron en víctimas de alto perfil involucradas con el gobierno y el ejército, dijo Mor Levi, vicepresidente de prácticas de seguridad de Cybereason.

Esa información pudo actualizarse en tiempo real, siempre y cuando los operadores de telefonía móvil no se hubiesen enterado de que habían sido hackeados.

"Piratear a una compañía que tiene montañas de datos que siempre se actualizan es el santo grial para una agencia de inteligencia", dijo Serper. "No se trata solo de obtener ese acceso, se trata de mantenerlo".

Cómo ocurrieron los ataques

Los investigadores de Cybereason descubrieron que los piratas obtuvieron acceso a más de una docena de operadores móviles explotando sus vulnerabilidades, como malware escondido en un archivo de Microsoft Word o encontrando un servidor público expuesto propiedad de alguna compañía.

Una vez que se infiltraron, el malware se propaga buscando todas las computadoras en la misma red y tratando de obtener acceso, inundándolos con intentos de inicio de sesión. Continúa extendiéndose mientras las credenciales funcionen, hasta que los hackers alcanzan la base de datos de registros de usuarios.

Usando ese acceso, los hackers también crearon cuentas para ellos mismos con privilegios escalados, escondidos entre el personal real de la compañía. Incluso si las empresas tomasen medidas para cerrar sus vulnerabilidades, los hackers podrían permanecer en la red durante años después de hecha la corrección.

Debido a que el método de ataque tuvo este nivel de sofisticación y de detalle en los objetivos, los investigadores de Cybereason creen que los hackers fueron respaldados por el gobierno de algún país. La información forense digital apunta a China —el malware utilizado, el método de ataque y los servidores donde se realizaron los ataques están vinculados con APT10, el grupo élite de piratas informáticos chinos

La embajada china no respondió a una petición de comentario.

Sin embargo, no hay nada que vincule directamente a los hackers chinos con la campaña. Además de que los piratas utilizaron malware y servidores chinos, es posible que hayan intentado inculpar a APT10, explicaron los investigadores.

"Debido a que las herramientas que vimos fueron filtradas y están disponibles al público que las busque, pudo haber sido cualquiera que quiera parecerse a APT10", dijo Levi.   

Qué hacer

Cybereason dijo que se han comunicado con todos los operadores móviles afectados, aunque no está claro qué soluciones podrían haber implementado para detener la intrusión.

Levi recomendó que todos los operadores monitoricen estrictamente sus propiedades de acceso a Internet, especialmente los servidores. Los operadores de telefonía móvil también deben buscar cuentas que tengan un alto nivel de privilegios.

Serper dijo que la investigación está en curso y que sigue encontrando más compañías hackeadas por este grupo cada día. Los servidores de los piratas informáticos aún están en funcionamiento, señaló.

Para las personas que son rastreadas a través de este robo de datos, no hay casi nada que puedan hacer para protegerse del espionaje, explicó. Las víctimas ni siquiera podrían saber que sus registros fueron robados de los operadores de telefonía móvil. 

"No quedan residuos en tu teléfono. Saben exactamente dónde estás y con quién estás hablando, y no instalaron una sola línea de código en tu teléfono", dijo Serper.

Reproduciendo: Mira esto: ¿Celulares Huawei con Android Q? Tenemos dudas
11:50