El pirateo telefónico es la práctica de explorar un dispositivo móvil , a menudo utilizando exploits informáticos para analizar todo, desde los niveles más bajos de memoria y CPU hasta los niveles más altos del sistema de archivos y procesos . Las herramientas modernas de código abierto se han vuelto bastante sofisticadas como para poder "conectarse" a funciones individuales dentro de cualquier aplicación en ejecución en un dispositivo desbloqueado y permitir una inspección y modificación profunda de sus funciones.
La piratería telefónica es una gran rama de la seguridad informática que incluye el estudio de diversas situaciones exactamente cómo los atacantes utilizan vulnerabilidades de seguridad para obtener cierto nivel de acceso a un dispositivo móvil en una variedad de situaciones y niveles de acceso presuntos.
El término saltó a la fama durante el escándalo de piratería telefónica de News International , en el que se alegó (y en algunos casos se demostró ante los tribunales) que el tabloide británico News of the World había estado involucrado en la interceptación de mensajes de voz de la realeza británica. familia , otras figuras públicas y la colegiala asesinada Milly Dowler . [1]
Aunque cualquier usuario de teléfonos móviles puede ser el objetivo, "para aquellos que son famosos, ricos o poderosos o cuyo premio es lo suficientemente importante (por cualquier motivo) como para dedicar tiempo y recursos a realizar un ataque concertado, suele ser más común, existen riesgos a afrontar." [2]
El acceso remoto no autorizado a los sistemas de correo de voz , como el expuesto por el escándalo de piratería telefónica de News International , es posible debido a las debilidades en la implementación de estos sistemas por parte de las compañías telefónicas . [3]
Se puede acceder a los mensajes de correo de voz de un teléfono móvil desde un teléfono fijo ingresando un número de identificación personal (PIN). [4] Los reporteros de News International llamaban al número de teléfono móvil de una persona, esperaban a que los transfirieran al correo de voz y luego adivinaban el PIN, que a menudo se configuraba con un valor predeterminado simple, como 0000 o 1234. [5]
Incluso cuando no se conoce el PIN predeterminado, se puede utilizar la ingeniería social para restablecer el código PIN del correo de voz al predeterminado haciéndose pasar por el propietario del teléfono con una llamada a un centro de llamadas . [6] [7] A mediados de la década de 2000, las llamadas que se originaban desde el teléfono registrado en una cuenta de correo de voz se enviaban directamente al correo de voz sin necesidad de un PIN. Un pirata informático podría utilizar la suplantación del identificador de llamadas para hacerse pasar por el identificador de llamadas del teléfono de un objetivo y así obtener acceso al correo de voz asociado sin un PIN. [8] [9] [10]
Tras las controversias sobre la piratería telefónica y las críticas a los proveedores de servicios móviles que permitían el acceso al correo de voz sin un PIN, muchas compañías de telefonía móvil han reforzado la seguridad predeterminada de sus sistemas para que el acceso remoto a los mensajes del correo de voz y otras configuraciones del teléfono ya no se pueda lograr ni siquiera a través de un PIN predeterminado. [4] Por ejemplo, AT&T anunció en agosto de 2011 que todos los nuevos suscriptores inalámbricos deberán ingresar un PIN al revisar su correo de voz, incluso cuando lo revisen desde sus propios teléfonos. [11] Para fomentar la seguridad de las contraseñas , algunas empresas ahora no permiten el uso de dígitos consecutivos o repetidos en los PIN del correo de voz. [12]
Un análisis de los códigos PIN seleccionados por el usuario sugirió que diez números representan el 15% de todos los códigos de acceso de iPhone , siendo "1234" y "0000" los más comunes, siendo los años de nacimiento y graduación también opciones comunes. [13] Incluso si se selecciona aleatoriamente un PIN de cuatro dígitos, el espacio de la clave es muy pequeño ( o 10.000 posibilidades), lo que hace que los PIN sean mucho más fáciles de forzar por fuerza bruta que la mayoría de las contraseñas; Por lo tanto, alguien con acceso físico a un teléfono protegido con un PIN puede determinar el PIN en poco tiempo. [14]
Los micrófonos de los teléfonos móviles pueden ser activados de forma remota por agencias de seguridad o compañías telefónicas, sin necesidad de acceso físico, siempre y cuando no se les haya quitado la batería. [15] [16] [17] [18] [19] [20] Esta característica de "bicho errante" ha sido utilizada por agencias de aplicación de la ley y servicios de inteligencia para escuchar conversaciones cercanas. [21]
Otras técnicas para piratear teléfonos incluyen engañar a un usuario de teléfono móvil para que descargue malware que monitorea la actividad en el teléfono. Bluesnarfing es un acceso no autorizado a un teléfono a través de Bluetooth . [7] [22]
Existen fallas en la implementación del algoritmo de cifrado GSM que permite la interceptación pasiva. [23] El equipo necesario está disponible para las agencias gubernamentales o puede construirse a partir de piezas disponibles gratuitamente. [24]
En diciembre de 2011, el investigador alemán Karsten Nohl reveló que era posible piratear mensajes de voz y de texto de teléfonos móviles en muchas redes con un software de descifrado gratuito disponible en Internet. Culpó a las compañías de telefonía móvil por confiar en técnicas de cifrado obsoletas en el sistema 2G y dijo que el problema podría solucionarse muy fácilmente. [25]
La piratería telefónica, al ser una forma de vigilancia , es ilegal en muchos países a menos que una agencia gubernamental la lleve a cabo como una interceptación legal . En el escándalo de escuchas telefónicas de News International , se descubrió que el investigador privado Glenn Mulcaire había violado la Ley de regulación de poderes de investigación de 2000 . Fue sentenciado a seis meses de prisión en enero de 2007. [26] La renovada controversia sobre las acusaciones de escuchas telefónicas llevó al cierre de News of the World en julio de 2011. [27]
En diciembre de 2010, la Ley de Veracidad en el Identificador de Llamadas se convirtió en ley de los Estados Unidos , por lo que es ilegal "hacer que cualquier servicio de identificación de llamadas transmita a sabiendas información de identificación de llamadas engañosa o inexacta con la intención de defraudar, causar daño u obtener indebidamente cualquier cosa de valor." [28] [29]
{{cite journal}}
: Citar diario requiere |journal=
( ayuda )