| Privacidad | Seguridad |

Empresa explota fallo en SS7 para rastrear móviles sin consentimiento

TechCrunch

A surveillance vendor was caught exploiting a new SS7 attack to track people's phone locations | TechCrunch
Zack Whittaker
TechCrunch
inglés
Estados Unidos
en-US
1752884214
1752884214
2025-07-19T00:16:54Z
2025-07-18T18:45:07Z
2025-07-18T23:35:06Z
https://techcrunch.com/2025/07/18/a-surveillance-vendor-was-caught-exploiting-a-new-ss7-attack-to-track-peoples-phone-locations

Una compañía de vigilancia burló protecciones de operadoras para localizar usuarios mediante vulnerabilidades en el sistema SS7, según investigadores de Enea.

Empresa de vigilancia explota fallo en SS7 para rastrear móviles

Una compañía de Medio Oriente burló protecciones de operadoras para localizar usuarios sin su conocimiento. Investigadores de Enea detectaron el ataque desde finales de 2024. El método permite ubicar personas con precisión de cientos de metros.

«Un ataque sigiloso contra la privacidad»

La firma de ciberseguridad Enea descubrió que un proveedor de vigilancia sin identificar explotó un nuevo método para eludir las defensas del sistema SS7, usado por operadoras para gestionar llamadas y mensajes. Según Cathal Mc Daid, VP de Enea, el ataque «se limitó a pocos usuarios y no funcionó en todas las redes», pero advirtió que la técnica podría replicarse.

¿Cómo funciona el ataque?

El SS7 permite a las operadoras consultar la antena más cercana a un dispositivo, normalmente para facturación. Los atacantes engañaron al sistema para obtener estos datos sin autorización, logrando ubicar a víctimas en áreas urbanas con un margen de error de pocos cientos de metros.

Gobiernos y vigilancia: un historial preocupante

Según el texto, proveedores de vigilancia suelen trabajar para gobiernos, que justifican su uso contra criminales, aunque también han espiado a periodistas y activistas. En 2017, EE.UU. identificó a China, Irán, Israel y Rusia como países que explotaron vulnerabilidades del SS7. Arabia Saudí también usó estas fallas para vigilar a sus ciudadanos en territorio estadounidense.

La responsabilidad de las operadoras

Enea notificó a la operadora afectada, pero la defensa contra estos ataques depende de las telecomunicaciones. Aunque muchas han implementado firewalls, la falta de estandarización global deja brechas. Los usuarios no pueden protegerse directamente al ser un fallo de red.

Cuando la tecnología supera a la regulación

El SS7, creado décadas atrás, carece de seguridad robusta ante técnicas modernas. Su diseño original no previó su uso malintencionado, y las actualizaciones son desiguales entre países. Esto facilita que actores maliciosos aprovechen sus vulnerabilidades.

Un sistema que necesita urgentes parches

El hallazgo evidencia que los ataques al SS7 siguen evolucionando, pese a los esfuerzos por contenerlos. Mientras las operadoras no uniformicen sus protecciones, la privacidad de los usuarios seguirá en riesgo.

Post Views: 19