Hacking de teléfono

El hacking de teléfono es la práctica de interceptar llamadas telefónicas o mensajes de voz, a menudo mediante el acceso a la información de un móvil sin el consentimiento del propietario del teléfono. El término se dio a conocer durante el escándalo de hacking telefónico de News International, en el que se afirmaba (y en algunos casos fue probado en la corte) que el periódico sensacionalista británico News of the World había participado en la intercepción de mensajes de voz de la Familia Real Británica, otras figuras públicas y la estudiante asesinada Milly Dowler.[1]

RiesgosEditar

Aunque cualquier usuario de teléfono móvil puede ser un blanco, "para aquellos que son famosos, ricos, poderosos o que por alguna razón son lo suficientemente importantes para dedicar tiempo y recursos para hacer un ataque concertado, existen riesgos reales por enfrentar".[2]

TécnicasEditar

Buzón de vozEditar

 
El hackeo de teléfonos a menudo involucra el acceso no autorizado a llamadas telefónicas o a mensajes de voz.

Contrario a lo que su nombre sugiere, escándalos como el de la escucha ilegal de llamadas telefónicas por parte de News International, poco tienen que ver con el hacking de teléfonos, sino que están relacionados con el acceso remoto no autorizado a los sistemas de buzón de voz. Esto es posible, en gran parte a las debilidades en la implementación de estos sistemas por parte de las empresas de telecomunicaciones.[3]

Desde los inicios de la telefonía móvil, los proveedores de servicio han permitido el acceso a los mensajes de voz mediante un teléfono fijo, requiriendo la entrada de un Número de Identificación Personal (NIP) para escuchar los mensajes. Muchas compañías de telefonía celular utilizan un sistema que establece un valor predeterminado de NIP de cuatro dígitos conocidos, que rara vez es cambiado por el propietario del teléfono, haciendo más fácil para un adversario quién sabía el número de teléfono y el proveedor de servicios para acceder a los mensajes de correo de voz asociados a ese servicio.[4]​ Aun cuando el NIP por defecto no era conocido, la ingeniería social era utilizada para restablecer el NIP por defecto, haciéndose pasar por el dueño del teléfono durante una llamada al centro de llamadas.[5][6]​ Muchas personas utilizan NIPs débiles que son fáciles de adivinar; para evitar que los suscriptores elijan NIPs de baja seguridad, algunas compañías de telefonía móvil no permiten el uso de dígitos consecutivos o la repetición del mismo NIP del buzón de voz.[7]

A mediados de la década de los 2000, se descubrió que las llamadas que se realizan de la terminal se registran en una cuenta de correo de voz sin que el usuario asigne un código NIP, por lo que un atacante podría utilizar un ID falso y hacerse pasar por el número de teléfono de la víctima, y de ese modo obtener acceso no autorizado al buzón de voz sin un NIP.[8][9]

A raíz de la controversias sobre el espionaje telefónico y las críticas hacia los proveedores de telefonía que permitían el acceso al correo de voz sin NIP, se ha aumentando el nivel de seguridad por defecto de los sistemas para que el acceso a los mensajes de correo de voz y otros ajustes del teléfono ya no se logren a través de un NIP predeterminado.[4]​ Por ejemplo, AT&T anunció en agosto del 2011 que los usuarios deberán introducir su contraseña personal para poder acceder a su correo de voz. T-Mobile dijo que recomienda que el usuario asigne una contraseña a su elección para mayor seguridad".[10]

AuricularesEditar

Un análisis de códigos NIP seleccionados por los usuarios, sugirió que diez números representan un 15% de todas las contraseñas de iPhones, con "1234" y "0000" como las más comunes. Los años de nacimiento y fechas de graduación también son opciones recurrentes.[11]​ Aunque un NIP de cuatro dígitos sea seleccionado al azar, la combinación de dígitos para la clave es pequeña (10.000 posibilidades), haciendo este tipo de contraseña más fácil de forzar que otros sistemas; por lo tanto, alguien con acceso físico a un auricular asegurado con un alfiler viable puede determinar el NIP en un corto tiempo.[12]​ Las empresas por lo tanto pueden implementar políticas que promuevan el uso de contraseñas más fuertes a través de la gestión de sistemas en los teléfonos móviles.[13]

Los micrófonos en los teléfonos móviles pueden activarse remotamente por organismos de seguridad o empresas de telecomunicaciones, sin necesidad de acceso físico.[14][15][16][17][18][19]​ Esta característica “roving bug” ha sido utilizada por organismos policiales y servicios de inteligencia para escuchar conversaciones cercanas.[20]

Otras técnicas para hackear teléfonos incluyen engañar a un usuario de teléfono móvil descargando malware para monitorear la actividad en el teléfono, o bluesnarfing, el cual consiste en el acceso no autorizado a un teléfono vía Bluetooth.[6][21]

OtrosEditar

También existen defectos en la implementación del algoritmo cifrador del GSM, que permite la intercepción pasiva.[22]​ El equipo necesario está disponible para agencias gubernamentales o pueden ser armados por piezas individuales disponibles.[23]

En diciembre del 2011, Karsten Nohl, un científico alemán, reveló que es posible hackear el buzón de voz y los mensajes de texto en varias redes con un software descifrador gratuito disponible en internet. Él acusó a las compañías de telefonía móvil por confiar en técnicas antiguas de encriptación en el sistema 2G, y dijo que el problema se podría arreglar fácilmente.[24]

LegalidadEditar

El hacking de teléfono es una forma de vigilancia, la cual es ilegal en muchos países, a menos que sea llevada a cabo como una intercepción legal por una agencia gubernamental. En el escándalo de hacking telefónico de News International,al investigador privado Glenn Mulcaire se le encontró que había violado el Acta 2000 de Regulación de los Poderes de Investigación. Fue sentenciado a 6 meses en prisión en enero de 2007.[25]​ Debido a diversas reclamaciones y controversias sobre el hacking telefónico, el periódico News of the World fue clausurado en julio de 2011.[26]

En diciembre de 2010, la Ley de Veracidad en el Identificador de Llamadas fue puesta en marcha en Estados Unidos, haciendo ilegal “causar a sabiendas que algún servicio de identificador de llamadas transmita información de identificación engañosa o inexacta con el intento de causar daño, hacer fraude, u obtener injustamente algo de valor.”[27]

Véase tambiénEditar

ReferenciasEditar

  1. Davies, Nick; Hill, Amelia (4 de julio de 2011). «Missing Milly Dowler's voicemail was hacked by News of the World». The Guardian. Consultado el 13 de julio de 2011. 
  2. Wolfe, Henry B (febrero de 2010). «Mobile Phone Security». The TCSM Journal. Vol 1 (2): 3. Archivado desde el original el 24 de diciembre de 2010. Consultado el 18 de febrero de 2015. 
  3. Rogers, David (7 de julio de 2011). «Voicemail Hacking and the 'Phone Hacking' Scandal - How it Worked, Questions to be Asked and Improvements to be Made». Copper Horse Solutions. Consultado el 25 de julio de 2012. 
  4. a b «Who, What, Why: Can Phone Hackers Still Access Messages?». BBC News. 6 de julio de 2011. 
  5. Voicemail hacking: How Easy Is It?, New Scientist, 6 de julio de 2011.
  6. a b Milian, Mark (8 de julio de 2011). «Phone Hacking Can Extend Beyond Voice Mail». CNN. Consultado el 9 de julio de 2011. 
  7. Grubb, Ben (8 de julio de 2011). «Vulnerable voicemail: telco-issued PINs insecure». The Sydney Morning Herald. Consultado el 9 de julio de 2011. 
  8. Cell Phone Voicemail Easily Hhacked, MSNBC, 28 febrero de 2005.
  9. Kevin Mitnick Shows How Easy It Is to Hack a Phone, interview with Kevin Mitnick, CNET, 7 de julio de 2011.
  10. Soghoian, Christopher (9 de agosto de 2011). «Not an option: time for companies to embrace security by default». Ars Technica. Consultado el 25 de julio de 2012. 
  11. Rooney, Ben (15 de junio de 2011). «Once Again, 1234 Is Not A Good Password». The Wall Street Journal. Consultado el 8 de julio de 2011. 
  12. Greenberg, Andy (27 de marzo de 2012). «Here's How Law Enforcement Cracks Your iPhone's Security Code». Forbes.com. Consultado el 25 de julio de 2012. 
  13. Jaquith, Andrew (5 de abril de 2011). Picking a Sensible Mobile Password Policy (pdf). Perimeter E-Security. Consultado el 26 de julio de 2012.. 
  14. Schneier, Bruce (5 de diciembre de 2006). «Remotely Eavesdropping on Cell Phone Microphones». Schneier On Security. Consultado el 13 de diciembre de 2009. 
  15. McCullagh, Declan; Anne Broache (1 de diciembre de 2006). «FBI taps cell phone mic as eavesdropping tool». CNet News. Consultado el 14 de marzo de 2009. 
  16. Odell, Mark (1 de agosto de 2005). «Use of mobile helped police keep tabs on suspect». Financial Times. Consultado el 14 de marzo de 2009. 
  17. «Telephones». Western Regional Security Office (NOAA official site). 2001. Consultado el 22 de marzo de 2009. 
  18. «Can You Hear Me Now?». ABC News: The Blotter. Consultado el 13 de diciembre de 2009. 
  19. Lewis Page (de de junio de 2007). «'Cell hack geek stalks pretty blonde shocker'». The Register. Consultado el 1 de mayo de 2010. 
  20. Brian Wheeler (2 de marzo de 2004). «'This goes no further...'». BBC News Online Magazine. Consultado el 23 de junio de 2008. 
  21. How easy is it to hack a mobile?, BBC News, 7 de septiembre de 2010.
  22. Jansen, Wayne; Scarfone, Karen (octubre de 2008). «Guidelines on Cell Phone and PDA Security» (pdf). National Institute of Standards and Technology. Consultado el 25 de julio de 2012. 
  23. McMillan, Robert. «Hackers Show It's Easy to Snoop on a GSM Call». IDG News Service. 
  24. O'Brien, Kevin J. (25 de diciembre de 2011). «Lax Security Exposes Voice Mail to Hacking, Study Says». The New York Times. Consultado el 28 de diciembre de 2011. 
  25. "Pair jailed over royal phone taps ", BBC News, 26 de enero de 2007.
  26. News of the World to close amid hacking scandal, BBC News, 7 de julio de 2011.
  27. Truth in Caller ID Act of 2010, 22 de diciembre de 2010, consultado 7 de julio de 2011.