Un agujero de seguridad permite que te roben la cuenta de WhatsApp, Facebook o Telegram

Es una vieja tecnología y lleva años averiada. El sistema SS7, un conjunto de protocolos de comunicación desarrollados por la operadora estadounidense AT&T en 1975 y adoptados como estándar a principios de los 80, se sigue empleando a día de hoy en la mayoría de las redes telefónicas mundiales. Tiene muchos usos, pero los fundamentales son la gestión de las llamadas y el envío de SMS.

Lo cierto es que no se ha actualizado mucho desde los comienzos, a pesar de que un buen número de expertos e investigadores han ido señalando sus debilidades a lo largo de los años. Se sabe o se sospecha, por ejemplo, que los gobiernos y sus agencias de espionaje se han servido de este sistema y sus carencias para escuchar furtivamente conversaciones y leer mensajes.

Recientemente, la cosa se ha puesto aún más peliaguda. La firma de seguridad informática rusa Positive Technologies ha revelado la forma de robar cuentas de Facebook, WhatsApp o Telegram en cuestión de minutos aprovechando las vulnerabilidades del SS7. De nada sirve el cifrado (que WhatsApp, por ejemplo, ha incluido hace bien poco) o que tus contraseñas sean muy robustas. Las medidas de seguridad, directamente, se las saltan.

Todo lo que necesitan saber es tu número de teléfono, que muy probablemente irá asociado a tu cuenta. En WhatsApp es imprescindible para utilizar la aplicación. En Telegram, aunque puedes charlar sin revelarlo, se utiliza para identificarte (y es, por tanto, la única forma de recuperar tu cuenta si, por ejemplo, te roban el teléfono). En Facebook, es habitual introducirlo durante el registro, para usar Messenger o para activar la verificación en dos pasos.

Cómo acceden a tu cuenta

El proceso que ha de seguir el atacante para secuestrar tu cuenta varía ligeramente en función del servicio. En Facebook, se aprovechará de la opción para recuperar tu cuenta a partir del número de teléfono, que aparece en la mismísima pantalla de inicio, al intentar acceder. Introducirá el auténtico número (el tuyo, el de verdad) y después se servirá de los fallos de SS7 para hacer que el código que ha de llegar a tu teléfono móvil llegue al suyo.

Como se puede comprobar en el siguiente vídeo, no hace falta mucho más (aunque el procedimiento es complejo y no se puede llevar a cabo sin conocimientos técnicos):

En WhatsApp o Telegram el proceso es algo más complicado. El atacante tiene que hacer creer a las operadoras, aprovechando los fallos de SS7, que su número de teléfono es el mismo que el de la víctima. Es algo que el servicio comprobará antes de enviar por SMS el código de confirmación que permite utilizar la cuenta desde un nuevo dispositivo, haciendo posible la suplantación.

La demostración de Positive Technologies se ha limitado a los tres servicios antedichos, pero podría replicarse, al menos en teoría, con cualquier página web o aplicación que utilice el número de teléfono como factor para recuperar la contraseña. Potencialmente, casi todas las plataformas que empleas a diario son inseguras, y no es culpa de sus propietarios, sino de una serie de vulnerabilidades que se conocen desde hace años y que afectan a un conjunto de protocolos más antiguo que la propia internet.

Poco puedes hacer para evitarlo, más allá de desactivar la recepción de un código vía SMS para recuperar tus cuentas —en los servicios que lo permitan. Siempre que sea posible, cambia las opciones de la verificación en dos pasos para que utilice otro segundo factor: una notificación a través de la app, un correo electrónico… Y asegúrate, si es viable, de que la contraseña siga siendo necesaria para acceder a los servicios.

Poco más puedes hacer. Mientras tanto, las operadoras trabajan en colaboración con las autoridades para solventar los problemas del SS7, una tecnología del siglo XX que aún causa estragos en el siglo XXI.