viernes, 15 de junio de 2018

Hackear Facebook a través del SS7


Signalling System Number 7, o sistema de señalización por canal común numero 7 (SS7), es un conjunto de protocolos de señales telefónicas usados por la mayoría de las redes de telefonía mundiales mediante el cual los elementos de una red intercambian información con otros en forma de mensajes. Este protocolo fue creado hace 40 años y es utilizado en las redes de comunicación móviles actuales, desde hace unos años sabemos que no es seguro y está lleno de fallos de seguridad.

Si a este problema añadimos que las redes sociales son el blanco de millones de hackers de todo el mundo, no sólo por la cantidad de información que ofrecen sobre usuarios y entidades, sino además porque son víctimas fáciles de sabotaje, tenemos la mezcla explosiva preparada para que nuestros datos sean repartidos por cualquier delincuente del ciberespacio y como no podía ser de otro modo la famosa red social creada por Mark Zuckerberg se ve una vez más en el ojo del huracán.

Los piratas informáticos acceden al sistema, redireccionando los mensajes y llamadas a sus dispositivos interceptando así la información. Al estar Facebook vinculado a tu teléfono móvil, pueden tener acceso a toda la red con tan sólo conocer tu contacto telefónico. Para acceder al perfil de la víctima, el ciberdelincuente pinchará la opción de contraseña olvidada, mediante la cual, y tras verificar el número de teléfono, la red social envía una nueva clave en forma de sms. Este mensaje ya ha sido previamente redireccionado al móvil del atacante, por lo que ya puede acceder a la sesión de la víctima.

El principal problema que plantea el protocolo SS7 es que no es posible parchear dicha vulnerabilidad en un corto periodo de tiempo. Al provenir el problema de la propia red de comunicaciones y no de Facebook, los usuarios no podemos hacer más que tomar una serie de precauciones. La principal y más radical sería no enlazar el número de teléfono a una red social como Facebook o Instagram, usando como método de doble autenticación para recuperar la contraseña el correo electrónico, y no el envío de sms.

No hay comentarios:

Publicar un comentario