Febrero de 2019. En las entra帽as de la entidad financiera brit谩nica Metro Bank se descubre un grave problema: alguien est谩 accediendo a informaci贸n muy sensible de sus clientes. Concretamente, la intrusi贸n se produce cuando un cliente quiere hacer una operaci贸n concreta y, adem谩s de loguearse en la web o app del banco, recibe un c贸digo en su tel茅fono para proceder a realizar la operaci贸n.

Seg煤n logra detectar Metro Bank, en ese paso se est谩 produciendo una brecha de datos y el c贸digo en cuesti贸n puede quedar a merced del cibercrimen, con el consecuente peligro para la ciberseguridad de los clientes. La entidad financiera reconoce y asume la vulnerabilidad, pero dice que no se trata de algo aislado: de hecho, la suya no es la primera gran organizaci贸n bancaria que la sufre; si acaso, es la primera en reconocerlo.

Efectivamente, no es la primera vez que ocurre algo as铆. En mayo del a帽o pasado, el senador estadounidense Ron Wyden asegur贸 que una gran operadora de comunicaciones sufri贸 un ciberataque muy similar, dejando datos sensibles de sus clientes y usuarios a merced de ciberdelincuentes que ni siquiera necesitaban una gran experiencia en este campo para hacerse con dicha informaci贸n. Esta vulnerabilidad, por tanto, es frecuente y no es tan compleja de explotar.

El problema del SS7

驴D贸nde reside el problema? En el Signaling System 7 (SS7), el protocolo que permite a los usuarios ir cambiando de red y de operador cuando viajamos por el mundo y nos vamos conectando desde nuestro m贸vil. El protocolo fue creado en 1975 y apenas ha experimentado actualizaciones, con lo que, a d铆a de hoy, parece carecer de la seguridad suficiente para todos aquellos que recurren a 茅l.

La vulnerabilidad se magnifica, sobre todo, en las situaciones en que los operadores y usuarios recurren al SS7 en los procesos de autenticaci贸n de doble factor a trav茅s del m贸vil, un modo de identificaci贸n que, aunque pasa por ser uno de los que m谩s garant铆as de ciberseguridad ofrece, no es ni mucho menos infalible. En este caso, la vulnerabilidad se hace m谩s evidente cuando el usuario recibe un SMS con un c贸digo para ejecutar una operaci贸n concreta. Y ese SMS, seg煤n reconocen el Centro Nacional de Seguridad Cibern茅tica (NCSC) de Reino Unido y las propias operadoras, est谩 quedando a merced de ciberdelincuentes.

Las consecuencias de la vulnerabilidad

El fallo del protocolo SS7 no es un asunto menor, ya que puede traer consecuencias fatales para los operadores, las grandes organizaciones y los propios usuarios:

1.- Robo de informaci贸n. Ya lo pudieron comprobar los clientes de Metro Bank: acceder al SMS con el c贸digo de una operaci贸n puede servir a los ciberdelincuentes para robarles informaci贸n o, en el caso de operaciones financieras, incluso hacerse con su dinero, con las evidentes consecuencias econ贸micas.

2.- Espionaje. La explotaci贸n de esta vulnerabilidad no tiene por qu茅 suponer un robo concreto de datos e informaci贸n, pero s铆 puede dar inicio a una intensa tarea de ciberespionaje, con lo que el usuario en cuesti贸n, al que aparentemente no se le est谩 robando nada, puede seguir operando sin ser consciente de que alguien, al otro lado, est谩 siguiendo todos sus movimientos.

3.- Explotaci贸n escalada. Hasta hace poco este tipo de cibercrimen parec铆a reservado a grandes agencias de ciberinteligencia, pero, tal y como ha reconocido el NCSC, la vulnerabilidad es tal que ha quedado a merced de ciberdelincuentes de un perfil mucho m谩s bajo, que apenas necesitan contar con ciertos recursos econ贸micos para explotarla. Adem谩s, el hecho de que el protocolo haya sido creado hace m谩s de 40 a帽os hace que el surgimiento de nuevas vulnerabilidades pueda ser mucho m谩s escalable.

4.- Reputaci贸n y multas. Ninguna compa帽铆a quiere ser conocida por el hecho de que sus clientes vean su informaci贸n en peligro. Este da帽o reputacional tambi茅n afecta a las teleoperadoras, que con el SS7 no se sienten capacitadas para garantizar la ciberseguridad total en las comunicaciones. Adem谩s, la p茅rdida de datos puede ocasionar a todos una cuantiosa multa econ贸mica.

驴C贸mo evitar los riesgos de SS7?

Las compa帽铆as preocupadas por su ciberseguridad empresarial no pueden evitar que existan vulnerabilidades en el protocolo SS7, pero s铆 pueden controlar sus consecuencias y evitar que lleguen a sus clientes:

1.- Sofisticaci贸n de contrase帽as. Teniendo en cuenta que la autenticaci贸n de doble factor no garantiza la ciberseguridad total, las compa帽铆as pueden optar por otras formas de autentificaci贸n que no tengan por qu茅 depender de SMS o que, al menos, introduzcan contrase帽as m谩s din谩micas y cambiantes.

2.- Monitorizaci贸n. En caso de que se produzcan intrusiones, es vital que las compa帽铆as puedan comprobar en todo momento la actividad que se produce en sus servidores y dispositivos corporativos. Panda Adaptive Defense monitoriza todos los procesos del sistema de manera autom谩tica y act煤a ante posibles peligros incluso antes de que se produzcan.

3.- Actualizaci贸n. La lucha contra las vulnerabilidades de ciberseguridad es eterna, ya que los ciberdelincuentes siempre encontrar谩n nuevas formas de provocar brechas de seguridad que les permitan obtener datos de usuarios y clientes. En este sentido, Patch Management, como m贸dulo de la plataforma complementario a Adaptive Defense, analiza la seguridad de los endpoints en tiempo real para ejecutar las actualizaciones necesarias para protegerse de las vulnerabilidades.

No se trata, por tanto, de poner fin a un problema interno, ya que las vulnerabilidades del protocolo SS7 son ajenas a las compa帽铆as. Se trata, en definitiva, de instalar los procedimientos adecuados para que, en caso de que la vulnerabilidad sea explotada, no llegue a afectar a los usuarios ni a las propias organizaciones. Para lograrlo, las soluciones de Panda Security previenen incidentes reduciendo la superficie de ataque por vulnerabilidades manteniendo a las empresas seguras ante los riesgos de SS7 y otras vulnerabilidades similares.