Memorándum para Trump: las telecomunicaciones estadounidenses son vulnerables a los piratas informáticos. Por favor cuelga y vuelve a intentarlo | John Naughton

YYa conoces el ejercicio. Estás iniciando sesión en tu banco u otro servicio (Gmail, por nombrar sólo uno) que utilizas habitualmente. Ingresas tu nombre de usuario y contraseña y luego el servicio dice que te enviará un mensaje SMS con un código que puedes usar para confirmar que eres tú quien inició sesión. Se llama “autenticación de dos factores” (2FA) y pasa por ser la mejor práctica en nuestro mundo en red, dado que las contraseñas y los datos de inicio de sesión se pueden descifrar fácilmente.

Lamentablemente, nuestro mundo es malvado y está conectado en red, y ese mensaje SMS puede redirigirse al teléfono de otra persona (el del delincuente que inició sesión utilizando sus datos personales phishing) y que ahora está ocupado vaciando su cuenta actual.

Este tipo de artimañas ha sido posible durante años. Acabo de encontrar una cuenta de ello. sucediendo a los clientes del banco en Alemania en 2017, pero los expertos en seguridad lo advirtieron mucho antes. La raíz del problema es la seguridad crónica. vulnerabilidades en SS7un protocolo técnico arcano, de décadas de antigüedad, para enrutar llamadas y mensajes telefónicos, que está integrado en todos los sistemas telefónicos.

Estas vulnerabilidades pueden ser explotado por piratas informáticos para causar una variedad de daños: rastrear cualquier teléfono móvil en cualquier parte del mundo; escuchar llamadas; leer y redirigir mensajes SMS; interceptar el tráfico de Internet; e interferir con la conectividad del usuario o la disponibilidad de la red, por nombrar sólo algunos. Pero SS7 es también lo que permite que tu teléfono permanezca conectado durante una llamada mientras estás en un tren que pasa por muchas celdas locales. Por lo tanto, es una parte integral del sistema de telefonía móvil: el pegamento que mantiene unido todo el sistema.

Se podría decir que es demasiado grande para quebrar, lo que puede explicar por qué las grandes empresas de telecomunicaciones se han mostrado reacias a afrontar sus manifiestas desventajas. Esta indolencia ahora intervención desencadenada por el regulador estadounidense, la Comisión Federal de Comunicaciones (FCC), posiblemente porque el senador de Oregón, Ron Wyden, ha empezado a describir las vulnerabilidades del SS7 como una cuestión de “seguridad nacional”.

Da la casualidad de que el senador está empujando una puerta abierta, porque en Washington hay pánico por el alcance y la profundidad de la penetración extranjera (también conocida como china) de las comunicaciones y la infraestructura crítica de Estados Unidos, parte de la cual sin duda se ve facilitada por las vulnerabilidades de SS7. En una cumbre de seguridad internacional celebrada en Bahréin el 7 de diciembre, Anne Neuberger, del Consejo de Seguridad Nacional de la Casa Blanca, admitió que los ciberespías chinos había grabado “muy senior” llamadas de figuras políticas estadounidenses, aunque omitió nombrar a las víctimas. También confirmó que ocho proveedores de telecomunicaciones estadounidenses habían sido comprometidos por los piratas informáticos chinos.

Aunque Corea del Norte y Rusia también son vistos como adversarios de la ciberseguridad, los estadounidenses parecen estar obsesionados con la amenaza china. Parece que tres grupos de hackers en particular mantienen a la gente en Washington despierta por la noche. Es, como comentó un bromista, la “temporada de tifones” en la ciudad, un reflejo de los nombres asignados al trío: Salt Typhoon, Volt Typhoon y Flax Typhoon. Flax ejecutó una botnet de 260.000 dispositivos hasta que fue desmantelado por el FBI. Los ciberespías de Salt violaron las empresas de telecomunicaciones estadounidenses Verizon, AT&T y Lumen Technologies y también, con un toque elegante, piratearon sus sistemas de escuchas telefónicas (los que tienen que desplegar cuando los agentes del FBI llegan con una orden judicial).

Volt, en cierto modo, es el más siniestro del trío. Se especializa en infraestructura crítica de Estados Unidos: sistemas de agua, redes eléctricas y similares. Ejecuta botnets basadas en enrutadores Cisco y Netgear al final de su vida útil (modelos para los cuales ya no se emiten actualizaciones de seguridad). Ha estado activo desde mediados de 2021 con el objetivo, según microsoftde desarrollar la capacidad de alterar la infraestructura de comunicaciones crítica entre Estados Unidos y la región de Asia durante futuras crisis. (¿Una invasión china de Taiwán, tal vez?) Las organizaciones afectadas “abarcan los sectores de comunicaciones, manufactura, servicios públicos, transporte, construcción, marítimo, gubernamental, tecnología de la información y educación”. La inferencia es que Volt “tiene la intención de realizar espionaje y mantener el acceso sin ser detectado durante el mayor tiempo posible”.

Entonces, como la tecnología las empresas hacen cola para donar millones al fondo de toma de posesión de Trump, dos de los tres grupos de hackers chinos que llevan nombres de tormentas seguirán causando estragos silenciosamente en el patio trasero digital de Estados Unidos. La idea de que Salt Typhoon piratee los propios sistemas de escuchas telefónicas del FBI es particularmente deliciosa. Mientras tanto, los teléfonos móviles en todas partes seguirán atados a un protocolo antiguo que es tan seguro como una tienda de campaña para dos personas en un huracán. Y cuando Trump vaya a Beijing para cerrar el trato con su colega emperador, Xi Jinping podrá obsequiar a su visitante un libro encuadernado en cuero con todas sus conversaciones telefónicas privadas desde 2016.

¡Feliz año nuevo!

lo que he estado leyendo

Cegado por la luz
Delirios ópticos es una excelente explosión en el blog de Tina Brown sobre la extraña atracción que la ostentación trumpiana tiene para muchos estadounidenses.

Reto universitario
Cómo la Ivy League rompió a Estados Unidos – el título de un largo y reflexivo ensayo de David Brooks en el atlántico sobre los males de la “meritocracia”.

Para señor, con amor.
Recuperar el ensayo: dos recuerdos. Un hermoso escrito de Richard Farr sobre lo que es tener un gran maestro.