Los piratas informáticos muestran que es fácil fisgonear en una llamada GSM

Investigadores de seguridad informática dicen que los teléfonos GSM utilizados por la mayoría de los usuarios de teléfonos móviles del mundo pueden ser escuchados con solo unos pocos miles de dólares en hardware y algunas herramientas gratuitas de código abierto.

En una presentación dada el domingo en la Conferencia de Comunicación del Caos en Berlín, el investigador Karsten Nohl dijo que había compilado 2 terabytes de tablas de datos de datos crujidos que pueden usarse como una especie de libro telefónico inverso para determinar la clave de cifrado utilizada para asegurar un GSM (Sistema Global para las comunicaciones móviles) conversación telefónica o mensaje de texto.

Si bien Nohl no llegó a lanzar un dispositivo de craqueo GSM, eso sería ilegal en muchos países, incluido EE. UU., dijo que divulgó información que ha sido de conocimiento común en círculos académicos y hecho es "prácticamente utilizable".

[Más información: los mejores teléfonos Android para todos los bolsillos.]

La interceptación de llamadas de teléfonos móviles es ilegal en muchos países, incluido EE. UU., Pero las herramientas de craqueo de GSM ya están disponibles para la aplicación de la ley. Knoll cree que los delincuentes probablemente los estén usando también. "Básicamente, hemos copiado lo que ya puede comprar en un producto comercial", dijo.

El error radica en el algoritmo de cifrado de 20 años utilizado por la mayoría de los operadores. Es un cifrado de 64 bits llamado A5 / 1 y simplemente es demasiado débil, según Nohl. Usando sus tablas, antenas, software especializado y $ 30,000 en hardware de computación para descifrar el cifrado, alguien puede descifrar el cifrado GSM en tiempo real y escuchar las llamadas, dijo. Si el atacante estaba dispuesto a esperar unos minutos para grabar y descifrar la llamada, el costo total sería de unos pocos miles de dólares, dijo.

Hay alrededor de 3.500 millones de teléfonos GSM en todo el mundo, lo que representa aproximadamente el 80 por ciento del total. mercado móvil, según datos de GSM Alliance, una asociación de la industria de las comunicaciones que representa a operadores y fabricantes de teléfonos.

Dado que incluso discutir herramientas de escuchas telefónicas puede ser ilegal en los EE. UU., los investigadores se han alejado de este tipo de trabajo. Pero después de consultar a abogados con la Electronic Frontier Foundation, Nohl y sus colaboradores establecieron una manera de divulgar de manera concluyente las fallas en el sistema GSM sin que, ellos creen, violen la ley.

En agosto lanzaron una fuente abierta proyecto para crear las tablas de cracking -algo que tardaría unos diez años en computar una computadora decente- y han demostrado qué herramientas de código abierto podrían usarse para interceptar mensajes, pero no llegaron a diseñar un dispositivo para interceptarlo los mensajes. Sin embargo, esto es algo que un hacker técnicamente sofisticado podría descubrir, dijo Nohl.

"No creo que lo que hicimos fue ilegal", dijo Knoll. Sin embargo, "usar lo que producimos en ciertas circunstancias sería ilegal", agregó.

Hace dos años, los hackers David Hulton y Steve Miller se embarcaron en un proyecto muy similar, pero no completaron su trabajo, dijo Nohl.

Knoll, que usa un teléfono BlackBerry GSM, dice que el objetivo de la investigación es dejar en claro que se pueden escuchar las llamadas cifradas GSM. "Ciertamente uso mi teléfono de forma diferente que antes, tratando de mantener las llamadas confidenciales en líneas cifradas", dijo.

Una portavoz de la Asociación GSM dijo que su grupo estaría investigando los reclamos de los investigadores en los próximos días y hizo hincapié en que cualquier tipo de espionaje de teléfonos móviles sería ilegal en muchos países. "Esto no es algo que tomemos a la ligera", dijo en una entrevista por correo electrónico.

El grupo ha desarrollado un estándar de próxima generación llamado A5 / 3 que se considera mucho más seguro. Ese es el estándar que se usa en redes 3G para transportar tráfico de Internet.