Nuevo ataque al protocolo SS7 permitió robar cuentas de Telegram

Según ha informado recientemente la publicación de BleepingComputer (un blog que recomiendo repasar de vez en cuando, por cierto) un nuevo ciberataque contra el protococolo de conectividad móvil SS7 (Signaling System 7) ha permitido el robo de cuentas de la app de mensajería Telegram, además de ciertas cuentas de correo electrónico.

De hecho ya hablé en su día acerca de como durante un tiempo fue posible hackear cuentas de Facebook con solo el número de teléfono, a causa de este obsoleto sistema.

SS7 se utiliza para interconectar redes móviles a lo largo del globo y es un protocolo utilizado por las empresas de telecomunicaciones desde que se inventó allá por 1975 y apenas ha sufrido evoluciones, así que es un agujero de seguridad en sí mismo.

Ataque dirigido al protocolo SS7 permite robar cuentas de usuario

Este ataque, en apariencia dirigido a un sector concreto de usuarios, ha podido interceptar códigos de autenticación multifactor (2FA) enviados mediante el SMS a dispositivos de las víctimas. El ataque ha tenido lugar durante el mes de Septiembre.

La empresa cuyos usuarios han sido afectados es Partner Communitacions Company (anteriormente Orange Israel), todos ellos relacionados recientemente con proyectos importantes de criptodivisas.

Pandora Security, con sede en Tel-Aviv, es una empresa que ha asistido a investigar este incidente, y comentan que el vector de entrada parece haber sido SS7. Presumiblemente:

Los hackers habrían suplantado el centro de servicio de mensajes cortos (SMSC) de un operador de red móvil (sin identificar por ahora) para que envíe una actualización de ubicación a los números de teléfono objetivos del ataque (Partner)

Esta solicitud consiguió que Partner enviase a los MSC falsos todas las llamadas de voz y mensajes cuyo destino original eran las víctimas.

BleepingComputer

Además de un conocimiento exhaustivo del protocolo SS7, los atacantes debieron haber poseído información de valor sobre las víctimas, como ciertas contraseñas filtradas.

También tenían en su poder los MSISDN (Mobile Station International Subscriber Directory Number) y los IMSI (International Mobile Subscriber Identity) de las víctimas.

Los objetivos de este ataque eran económicos, ya que los usuarios supuestamente podrían poseer importantes criptodivisas.

En ciertos casos, los hackers se hicieron pasar por víctimas en sus cuentas de Telegram, escribiendo a algunos conocidos de las víctimas, proponiéndoles intercambios de BTC por ETC y tratos similares).

Conclusiones

No es la primera vez que los hackers han robado códigos 2FA de tipo SMS en dispositivos móviles, así que te aconsejo siempre que sea posible utilizar otros sistemas como TOTP (códigos entregados mediante app móvil) u otro sistema con más seguridad.

Fuentes adicionales:

Haaretz