Cómo los hackers interceptan OTPs y llamadas móviles sin ‘hackear’ — El increíble poder de los SIM Boxes”

La reciente incautación de 300 servidores SIM y 100.000 tarjetas SIM por parte del Servicio Secreto de Estados Unidos en Nueva York pone de relieve un creciente problema de seguridad nacional: la utilización de la infraestructura de telecomunicaciones como arma para el fraude, el espionaje y las operaciones cibernéticas a gran escala.

Si bien los SIM Box o SIM servidores se han asociado durante mucho tiempo con el fraude en las telecomunicaciones, los adversarios modernos (incluidos los actores de los estados nacionales) las combinan cada vez más con interceptores GSM (capturadores IMSI) , abuso de SS7/SIGTRAN e incluso riesgos de aprovisionamiento de eSIM para crear nodos de telecomunicaciones fraudulentos .

El papel de SIM Box: del fraude al espionaje

Qué son

  • Un SIM Box (servidor SIM / puerta de enlace GSM) es un dispositivo de hardware que puede contener entre docenas y miles de tarjetas SIM .
  • Se conecta a las redes celulares como un teléfono normal, pero de forma masiva.
  • Originalmente utilizado por call center y empresas para reducir costos de llamadas (enrutamiento VoIP → GSM).

Pero los atacantes pueden reconfigurarlos para que actúen como nodos de telecomunicaciones en miniatura , insertándose en el flujo de la red móvil.

Sección 1: Cómo funcionan los ataques de SIM Box

1. Evitar la monitorización y facturación de telecomunicaciones (fraude)

Cómo funciona:

  • Normalmente, cuando se realiza una llamada internacional, los operadores de telecomunicaciones cobran tarifas más altas y registran el tráfico a través de puertas de enlace oficiales.
  • Un SIM BOX engaña al sistema enrutando las llamadas internacionales como llamadas locales .
  • Funciona mediante:
    1. Recibir una llamada VoIP internacional (a través de Internet).
    2. Utilizando una de sus cientos de tarjetas SIM para re-originar la llamada como si fuera local.
    3. El destinatario ve un número local, el operador pierde ingresos y los sistemas de monitoreo piensan que es tráfico normal.

Por qué es posible:

  • Los SIM Boxes imitan a usuarios legítimos y a menudo están distribuidas en cientos de tarjetas SIM para evitar ser detectadas.
  • Los operadores tienen dificultades para distinguir entre una llamada desde una SIM box y un abonado real.

Ejemplo:

  • Un operador fraudulento en Nigeria recibe una llamada VoIP desde EE.UU.
  • En lugar de pasar por la ruta del operador oficial (con una tarifa de $0,25/min), el SIM Box lo envía a través de una SIM prepaga local ($0,02/min).
  • Multiplique esto por millones de llamadas diarias y las telecomunicaciones pierden miles de millones anualmente .

2. Campañas masivas de phishing y smishing

Cómo funciona:

  • Un SIM Box con 1.000 tarjetas SIM activas puede enviar mensajes SMS a gran escala.
  • Los atacantes envían alertas bancarias falsas, solicitudes OTP o textos de entrega de paquetes.
  • Los mensajes provienen de números locales reales , lo que hace que sea más difícil bloquearlos.

Por qué es posible:

  • Los operadores a menudo filtran SMS masivos procedentes de portales conocidos, pero no pueden bloquear fácilmente miles de tarjetas SIM pequeñas que envían entre 50 y 100 mensajes de texto cada una.
  • Los SIM Box pueden rotar las tarjetas SIM y falsificar las identificaciones de los remitentes para evadir la detección.

Ejemplo:

  • Durante la semana de la Asamblea de la ONU en Nueva York, los atacantes podrían enviar: «Alerta de seguridad: Su cuenta del Departamento de Estado necesita ser revalidada. Haga clic aquí: secure-portal-login[.]com».
  • Si tan solo el 1% de un millón de destinatarios hace clic , se podrían robar miles de credenciales en cuestión de horas.

3. Interceptación de llamadas y mensajes confidenciales

Cómo funciona:

  • Los SIM Boxs SIM se pueden configurar como nodos de telecomunicaciones no autorizados .
  • Al controlar el enrutamiento de llamadas, los atacantes pueden:
    • Grabar llamadas que pasan.
    • Clonar SIMs para recibir OTP SMS de forma silenciosa.
    • SMS de intermediario (entrega OTP al usuario pero también reenvía una copia al atacante).

Por qué es posible:

  • Las redes de telecomunicaciones aún dependen en gran medida de la señalización SS7 (protocolo obsoleto e inseguro).
  • Si los atacantes controlan la infraestructura SIM, pueden aprovechar las fallas de SS7 para redirigir o interceptar el tráfico .

Ejemplo:

  • Un diplomático llama a Washington vía móvil.
  • La llamada pasa a través de un servidor SIM secuestrado.
  • Los atacantes graban la conversación antes de retransmitirla.
  • El diplomático nunca nota nada inusual.

4. Comando y control basado en SIM (C2) para operaciones cibernéticas

Cómo funciona:

  • En lugar de servidores C2 basados ​​en Internet (que son fáciles de detectar), los atacantes utilizan tarjetas SIM como canales de comunicación encubiertos.
  • El malware en sistemas infectados puede:
    • Envía comandos SMS (“exfiltrar datos”, “lanzar ransomware”) al SIM Box.
    • Recibir instrucciones C2 disfrazadas de textos inofensivos.

Por qué es posible:

  • Los SMS aún cuentan con un amplio soporte y son más difíciles de monitorear que el tráfico HTTP/S.
  • Los SIM Boxs proporcionan redundancia: si una SIM está bloqueada, los atacantes cambian a otra.

Ejemplo:

  • Una botnet en EE.UU. está programada para revisar los mensajes SMS de una lista de números de teléfono cada 10 minutos.
  • El atacante envía: “#CMD:UPLOAD /docs/*.pdf 203.0.113.5”
  • Los bots reciben esto vía SMS enrutados a través de servidores SIM → filtran documentos confidenciales.

Sección 2: Cajas SIM – Nodo de telecomunicaciones no autorizado

Un SIM Box fraudulento abusa de su capacidad para:

  • Terminar el tráfico (llamadas/SMS) en redes móviles.
  • Dirigir el tráfico a través de diferentes tarjetas SIM/redes.
  • Hacerse pasar por suscriptores normales .

Con firmware personalizado, pueden imitar el comportamiento de elementos de telecomunicaciones legítimos como:

  • Estaciones transceptoras base (BTS) : torres de telefonía celular.
  • Nodos de señalización (SS7/SIGTRAN) – para establecimiento de llamadas.
  • Centros SMS (SMSC) : para enrutamiento de SMS.

Sección 2.1: Formas en que los SIM Boxs se convierten en nodos no autorizados

(a) Interceptación de llamadas/SMS

  • Los SIM Boxs se pueden configurar para finalizar llamadas/SMS entrantes y luego reoriginarlos , lo que brinda a los atacantes la oportunidad de:
    • Grabar la comunicación .
    • Modificar cargas útiles (por ejemplo, cambiar OTP SMS).
  • Esto convierte efectivamente el SIM Box en un intermediario .

Ejemplo:

  • Diplomático recibe un SMS OTP de un banco.
  • El SMS se envía primero a través del SIM Box → los atacantes copian el OTP → luego lo reenvían al diplomático.

(b) Integración de IMSI-Catcher

  • Los SIM Boxs se pueden emparejar con estaciones base no autorizados (captores IMSI o Stingrays) .
  • Proceso:
    1. El receptor IMSI engaña a los teléfonos cercanos para que se conecten.
    2. El tráfico capturado se reenvía a través de los SIM Boxs para llegar a los operadores reales.
    3. El atacante ahora retransmite todo el tráfico , mientras mantiene la invisibilidad.

Resultado: El SIM Box se convierte en un “puente” entre una torre de telefonía celular falsa y la red real.

(c) Explotación de SS7

  • Si los atacantes obtienen acceso a la señalización SS7/SIGTRAN a través del software del SIM Box, pueden:
    • Solicitar desvío de llamadas .
    • Redirigir SMS a tarjetas SIM controladas por el atacante.
    • Consultar ubicación del suscriptor.

Ejemplo:

  • Usando comandos SS7, el atacante configura un “reenvío de llamadas silencioso” → todas las llamadas a un VIP se reflejan silenciosamente en el SIM Box del atacante.

(d) Emulación SMSC

  • Con un firmware modificado, los SIM Boxs pueden comportarse como centros SMS (SMSC) .
  • Esto les permite:
    • Poner en cola, retrasar o descartar mensajes SMS.
    • Insertar cargas útiles de SMS maliciosos (phishing, alertas falsas).

Ejemplo:

  • En lugar de enviar el SMS con el OTP real del banco, el SIM box lo reemplaza con: “Su cuenta ha sido bloqueada. Ingrese sus datos de acceso aquí: secure-login[.]net”.

Por qué funciona

  • El modelo de confianza en las telecomunicaciones es débil :
    • Los operadores a menudo no validan si un nodo es realmente parte de la infraestructura oficial.
    • Los protocolos SS7/SIGTRAN se diseñaron en la década de 1980 sin autenticación.
  • El tráfico del SIM Box se parece al de los suscriptores normales :
    • Una tarjeta SIM que envía llamadas o SMS desde Nueva York no se diferencia en nada de un usuario humano.
  • Escalado con 100.000 SIM :
    • Si una tarjeta SIM queda marcada, el sistema rota automáticamente.

Sección 3: Cómo funciona técnicamente la interceptación de llamadas y SMS con SIM Boxes

Flujo normal de SMS (sin ataques)

Cuando un banco te envía un SMS con contraseña de un solo uso (OTP):

  1. Servidor bancario → SMSC (Centro SMS de su operador).
  2. SMSC → Interconexión de telecomunicaciones (puede cruzar múltiples operadores si es internacional).
  3. Operador del destinatario → Torre celular → Teléfono.

El mensaje se cifra por aire (entre la torre y el teléfono), pero no existe cifrado de extremo a extremo en los SMS tradicionales. en el núcleo del operador es texto sin cifrar .

Sección 3.1: Cómo los atacantes insertan un SIM Box en el flujo

Un SIM Box por sí sola no puede interceptar SMS directamente , pero los atacantes las configuran como puntos finales o relés no autorizados en el sistema de telecomunicaciones.

Algunos métodos comunes de ataque técnico son:

Método A: Explotación de SS7 (secuestro de la red central)

  • SS7 (Sistema de señalización 7) es el protocolo global utilizado para establecer llamadas y enviar SMS.
  • No tiene autenticación → cualquiera con acceso SS7 puede enviar comandos como:
    • UpdateLocation→ redirigir el SMS de un suscriptor a otro MSC (centro de conmutación móvil).
    • SendRoutingInfoForSM→ decirle al SMSC que la ubicación del objetivo es el SIM Box en lugar del teléfono real.

Cómo UpdateLocationy los comandos SS7 habilitan el redireccionamiento de SMS

Cuando recibes un SMS:

  1. El SMSC (Centro de servicio de mensajes cortos) de origen pregunta:
    SendRoutingInfoForSM→ “¿Dónde se encuentra actualmente el suscriptor +1-212-555-1234?”
  2. HLR (Registro de Ubicación Local) responde con el MSC (Centro de Conmutación Móvil) que le atiende actualmente.
  3. SMSC reenvía el SMS a ese MSC, que luego lo entrega a su teléfono.

Funciona bien si todos los participantes son honestos.

Ataque con UpdateLocation

UpdateLocation Es un comando SS7 que se utiliza cuando un suscriptor se muda a una nueva red (por ejemplo, cuando está en roaming en el extranjero).

  • El atacante abusa de esto enviando un mensaje UpdateLocation falso al HLR:
    • “El suscriptor +1-212-555-1234 ahora es atendido por MSC-ID = [nodo controlado por el atacante / SIM Box]”.
  • HLR actualiza sus registros.
  • A partir de ahora, todos los SMS entrantes para ese suscriptor se enrutan al MSC del atacante .

Resultado:

  • SMS OTP de un banco → primero va al SIM Box del atacante.
  • El atacante copia OTP.
  • Los SMS se reenvían al MSC real o se entregan de forma silenciosa más tarde.

Otros comandos SS7 abusables

  • SendRoutingInfoForSM (SRI-SM): permite a los atacantes consultar dónde se encuentra un suscriptor (filtraciones de ubicación, vigilancia).
  • InsertSubscriberData: puede aprovisionar/cambiar servicios, por ejemplo, habilitar el reenvío de llamadas.
  • ForwardShortMessage: permite a los atacantes inyectar SMS directamente.

Flujo en ataque:

  1. El atacante envía un comando SS7 para redirigir el SMS OTP a la tarjeta SIM de su SIM Box.
  2. La OTP se envía primero a el SIM Box.
  3. El software del SIM Box registra el OTP.
  4. El SIM Box reenvía los SMS al destinatario real (para que nunca lo sepan).

Ejemplo:

  • El banco envía OTP: “Su código es 482191”.
  • Registros del SIM Box → 482191.
  • La OTP sigue llegando al teléfono del diplomático con normalidad.

Esto es posible porque el enrutamiento de SMS depende de la confianza entre los operadores y los SIM Boxs(especialmente con acceso SS7 al mercado gris) pueden suplantar elementos de la red.

Cómo los atacantes obtienen acceso a SS7 (observado en casos reales)

1. Acceso arrendado a través de revendedores del mercado gris

  • Los operadores de telecomunicaciones más pequeños (especialmente en regiones en desarrollo) a veces revenden o subarrendan la conectividad SS7/SIGTRAN a terceros.
  • En foros clandestinos, los actores anuncian “servicios SS7”, generalmente comercializados para:
    • Seguimiento de ubicación de números telefónicos.
    • Interceptación de OTP de SMS para operaciones bancarias.
  • Así lo han informado las investigaciones de Europol, ENISA y Citizen Lab.

Riesgo: Los delincuentes no necesitan piratear un operador directamente; simplemente compran servicios de corredores que ya tienen acceso a la interconexión.

2. Cuentas comprometidas o de información privilegiada

  • Algunos atacantes sobornan o reclutan a personal interno de las empresas de telecomunicaciones .
  • Incluso con acceso de bajo nivel a la puerta de enlace SS7 o al equipo de señalización de un operador , los miembros internos pueden ejecutar búsquedas de ubicación, establecer reglas de reenvío o enviar SMS.
  • Ejemplo: En Europa del Este, las autoridades policiales documentaron casos en los que empleados corruptos vendieron “búsquedas SS7” por unos cientos de dólares cada una.

3. Explotación de puertas de enlace SS7 débiles

  • Muchos operadores pequeños exponen las interfaces SS7/SIGTRAN a Internet con una seguridad débil (sin filtrado, sin autenticación).
  • Los atacantes buscan puertas de enlace mal configuradas y luego:
    • Enviar UpdateLocationmensajes maliciosos SendRoutingInfoForSM.
    • Inyectarse en el enrutamiento.
  • Esta técnica se ha utilizado en múltiples campañas de vigilancia en el mundo real (por ejemplo, dirigidas contra disidentes o periodistas).

4. Aprovechamiento de proveedores VoIP/mayoristas

  • Algunos proveedores mayoristas de VoIP o SMS tienen interconexiones SS7 legítimas con los operadores.
  • Si sus sistemas son pirateados, los atacantes heredan su conectividad confiable .
  • Esto ha sucedido en redes de fraude, donde se utilizaron agregadores de SMS comprometidos para redirigir el tráfico OTP.

5. Abuso a nivel estatal o APT

  • Los servicios de inteligencia de algunos países tienen interconexiones SS7 directas a través de sus operadores nacionales.
  • Los informes filtrados sugieren que estos enlaces a veces se utilizan de forma indebida para:
    • Seguimiento de ubicación masiva.
    • Seguimiento de objetivos en el exterior.
    • Interceptar SMS para espionaje.

¿Puede una empresa china interceptar OTP a través de fronteras?

La naturaleza global de SS7

  • Todos los operadores móviles del mundo están interconectados a través de SS7/SIGTRAN para permitir:
    • Roaming (para que tu SIM estadounidense funcione en el extranjero).
    • SMS transfronterizos (por ejemplo, bancos que envían OTP a nivel internacional).
    • Llamadas internacionales.
  • Esto significa que un operador extranjero puede consultar datos de suscriptores de otro operador a través de la red SS7, a menos que el operador de destino los filtre o los bloquee.

Cómo un transportista extranjero podría abusar de él

Un operador malintencionado o dirigido por el Estado podría:

  1. Envíe una solicitud “SendRoutingInfoForSM” para un número de teléfono de EE. UU.
    • Devuelve el Centro de conmutación móvil (MSC) que actualmente presta servicio al suscriptor.
    • Revela la ubicación aproximada del objetivo.
  2. Envíe un comando falso “UpdateLocation” al Registro de Ubicación Local (HLR) del operador estadounidense.
    • Simula que el suscriptor está en roaming en la red de China Telecom.
    • HLR actualiza su registro: “Este suscriptor ahora es atendido por [China Telecom MSC]”.
  3. El banco envía un SMS OTP → El operador estadounidense verifica el HLR → detecta que el suscriptor está en “roaming” en China → enruta el SMS a China Telecom MSC.
    • China Telecom registra el OTP.
    • Es posible que el mensaje aún se reenvíe al dispositivo real de EE. UU. (por lo que la víctima no se da cuenta de nada).

¿Por qué es factible este ataque?

  • SS7 se basa en la confianza : si un operador tiene interconexión SS7, puede enviar comandos de señalización a cualquier otro operador en todo el mundo.
  • Muchos operadores aún no cuentan con firewalls SS7 estrictos ni detección de anomalías.
  • Los estados nacionales con acceso directo a sus propios operadores (por ejemplo, China Telecom o Rostelecom de Rusia) pueden utilizar esto a voluntad.

Evidencia del mundo real

  • Caso O2 Telefónica 2017 (Alemania): Los delincuentes utilizaron SS7 para redirigir OTP de SMS desde bancos → cuentas vaciadas.
  • Informes 2018-2020 (GSMA, FireEye, ENISA): Se documentó el uso del SS7 por parte de actores vinculados al Estado para rastrear a disidentes, periodistas y funcionarios extranjeros .
  • Informes del gobierno de EE.UU.: el DHS advirtió explícitamente que los adversarios extranjeros pueden abusar del SS7 para espiar a los suscriptores estadounidenses en el extranjero y en el país .

¿Qué es SIGTRAN?

  • SS7 (Sistema de señalización 7): protocolo de señalización de telecomunicaciones heredado utilizado desde la década de 1980 para el establecimiento de llamadas, enrutamiento de SMS, roaming, etc.
  • SIGTRAN (Transporte de señalización): la extensión basada en IP de SS7, que permite a los operadores enviar mensajes SS7 a través de redes IP (en lugar de las antiguas líneas TDM).

Piense en SIGTRAN como SS7 ejecutándose sobre IP .

  • Utiliza SCTP (Protocolo de transmisión de control de flujo) para el transporte.
  • Los mensajes son idénticos a SS7, sólo que a través de TCP/IP en lugar de circuitos de telecomunicaciones dedicados.

Por qué SIGTRAN es importante para la seguridad

  1. Abre SS7 a redes IP
    • El SS7 tradicional estaba “semiaislado” en los enlaces de telecomunicaciones.
    • Con SIGTRAN, la señalización SS7 viaja a través de IP, lo que significa que los atacantes pueden atacarla como cualquier otro servicio basado en IP .
  2. Más exposición
    • Los operadores más pequeños, los agregadores de SMS y los proveedores de VoIP pueden exponer las interfaces SIGTRAN a Internet más amplio.
    • Cortafuegos débiles o mal configurados = los atacantes pueden enviar comandos SS7 directamente al núcleo.

Cómo los atacantes abusan de SIGTRAN

1. Acceso no autorizado a HLR/VLR

  • Usando SIGTRAN, un atacante puede enviar comandos SS7 falsos a las bases de datos centrales:
    • SendRoutingInfoForSM (SRI-SM)→ revelar dónde se encuentra un suscriptor (seguimiento de ubicación).
    • UpdateLocation→ redirigir el SMS de un suscriptor a un MSC controlado por el atacante.
    • InsertSubscriberData→ proporcionar servicios maliciosos como reenvío de llamadas.

Ejemplo:

  • El banco envía SMS OTP → el comando SIGTRAN del atacante lo redirecciona al MSC del SIM box → OTP interceptado.

2. Interceptación de SMS mediante SIGTRAN + SIM Boxes

  • Los SIM Boxs por sí solas no pueden modificar el enrutamiento.
  • Pero con el abuso de SIGTRAN, los atacantes pueden:
    • Hacer creer al HLR que el suscriptor está en “roaming” en un MSC falso vinculado a las tarjetas SIM del SIM Box.
    • Forzar el tráfico de SMS (como OTP) a finalizar dentro del clúster del SIM Box.
    • Registrar mensajes → luego reenviarlos al MSC real → la víctima nunca sospecha.

3. Secuestro de llamadas

  • Al usar CallForwardingUpdateLocation, los adversarios pueden redirigir silenciosamente las llamadas a su propio MSC.
  • Útil para escuchar a escondidas o suplantar identidad.

4. Fraude (Evasión de facturación)

  • Los atacantes abusan de SIGTRAN para:
    • Redirigir las llamadas internacionales para que aparezcan como locales (enrutamiento gris).
    • Los SIM Box terminan llamadas de forma barata, mientras que las empresas de telecomunicaciones pierden ingresos.
  • Es por esto que a los SIM Boxs a menudo se las llama “puertas de enlace GSM para rutas grises”.

5. Smishing masivo / Spam

  • Con 100.000 SIM + señalización SIGTRAN, los atacantes pueden:
    • Envía millones de mensajes SMS de phishing.
    • Gire las tarjetas SIM para evitar ser detectadas.
    • Falsifique las identificaciones de los remitentes con mayor facilidad.

Por qué todavía es posible en 2025

  • Modelo de confianza SS7 → sin autenticación.
  • SIGTRAN se ejecuta en IP → los atacantes pueden encontrar puertas de enlace expuestas.
  • Los operadores/agregadores más pequeños a menudo tienen firewalls débiles y no tienen filtros.
  • Respaldo heredado → incluso con 4G/5G, muchos operadores aún permiten 2G/3G + SS7/SIGTRAN para roaming.

Método B: Intermediario con IMSI Catcher

Interceptores GSM (captores IMSI)

Cómo interceptar comunicaciones móviles (llamadas y mensajes) fácilmente sin hackear

Qué son

  • Estaciones base fraudulentas que imitan torres de telefonía celular legítimas.
  • Los teléfonos cercanos se conectan automáticamente.

Capacidades

  • Capturar identificadores IMSI/IMEI (identidad del suscriptor).
  • Forzar degradación a 2G → eliminar cifrado.
  • Intercepte llamadas y SMS antes de que lleguen a la red.

Limitación

  • Debe estar físicamente cerca del objetivo (cientos de metros a unos pocos kilómetros).

Si el SIM Box se combina con un receptor IMSI (estación base falsa/Stingray) , esto funciona porque el cifrado de SMS por aire (A5/1, A5/2, etc.) puede verse degradado o dañado por equipos BTS no autorizados.

Método C: Clonación directa de SIM

Cómo funciona la clonación de SIM (análisis en profundidad)

El papel del Ki (clave secreta de autenticación)

  • Cada perfil SIM (o eSIM) contiene:
    • IMSI (Identidad internacional del suscriptor móvil) → la “identidad del número de teléfono”.
    • Ki (clave secreta) → nunca debe salir de la SIM. Se usa en desafío-respuesta con el operador.

Cuando un teléfono se conecta:

  1. El transportista envía un desafío aleatorio .
  2. SIM calcula una respuesta utilizando Ki.
  3. El operador verifica contra su HLR/AuC.

Mientras Ki sea secreto, sólo la SIM real podrá autenticarse.

Debilidades del sistema GSM heredado

  • En GSM 2G (algoritmo COMP128) :
    • El proceso de desafío/respuesta filtró suficiente información para finalmente recuperar a Ki.
    • Las herramientas + tablas de arco iris podrían forzar brutamente el Ki en horas o días.
  • Una vez extraído el Ki:
    • El atacante podría escribirlo en una tarjeta SIM en blanco (clon).
    • Ambas SIM podrían autenticarse como el mismo usuario (par IMSI+Ki).

Este es el clásico ataque de clonación de SIM visto en la década del 2000 → a menudo utilizado para fraudes e interceptación de llamadas.

Por qué sigue siendo importante en 2025

  • Muchos operadores aún permiten recurrir a 2G/3G por motivos de compatibilidad:
    • Itinerancia.
    • Dispositivos IoT heredados.
  • Incluso si tienes una SIM 4G/5G, si el atacante fuerza tu teléfono a usar GSM , puede intentar un ataque de extracción de Ki.
  • Equipos como los receptores IMSI (Stingrays) pueden forzar esta degradación.

Así que, incluso con el lanzamiento de 5G, el eslabón débil es la compatibilidad con versiones anteriores .

Intercambio de SIM vs. Clonación de SIM

  • Clonación de SIM = duplicación criptográfica (robar Ki, hacer clon).
  • Intercambio de SIM = fraude administrativo (convencer al operador de transferir el número a la SIM del atacante).
  • Ambos dan como resultado que el atacante reciba su SMS/OTP.

¿Qué pasa con las eSIM?

Conceptos básicos de la eSIM

  • Una eSIM no es fundamentalmente diferente de una SIM física:
    • Todavía almacena IMSI + Ki.
    • Todavía realiza desafío-respuesta.
  • Diferencia = es un perfil regrabable almacenado en el teléfono, descargado a través de un código QR o un servidor de aprovisionamiento del operador.

Nuevas superficies de ataque con eSIM

  • Robo de perfil :
    • Si un atacante compromete el servidor de aprovisionamiento SM-DP+ del operador , puede emitir perfiles eSIM duplicados.
    • Equivalente al intercambio de SIM a escala.
  • Hombre en el medio durante el aprovisionamiento :
    • Si un atacante intercepta o falsifica el proceso de aprovisionamiento de QR, podría engañar a una víctima para que instale un perfil eSIM malicioso.
  • Amenazas internas :
    • Al igual que en el caso del intercambio de SIM, un miembro interno del operador puede enviar un perfil eSIM controlado por el atacante para reemplazar el de la víctima.

Por qué es más difícil clonar una eSIM criptográficamente

  • Las eSIM generalmente implementan algoritmos de autenticación más nuevos (MILENAGE para LTE/5G).
  • Los ataques de extracción de Ki (como el antiguo descifrado de COMP128) ya no son prácticos contra las eSIM modernas.
  • Sin embargo, dado que los operadores aún permiten el respaldo tradicional , la identidad del suscriptor aún puede ser atacada si:
    • La eSIM se degrada a GSM.
    • El operador utiliza una autenticación más débil para lograr compatibilidad con sistemas heredados.

¿Por qué los adversarios despliegan SIM Boxs localmente (por ejemplo, cerca de la ONU)?

Incluso si el abuso de SS7 se puede realizar de forma remota, las implementaciones de SIM Boxs locales ofrecen:

  • Omisión de filtros geográficos: el tráfico aparece como suscriptores estadounidenses confiables.
  • Intercepción directa: cuando se combina con receptores IMSI.
  • Capacidad de smishing masivo: millones de SMS a objetivos de alto valor a la vez.
  • Redundancia: funciona incluso si los firewalls SS7 bloquean solicitudes externas.

Esto explica por qué el Servicio Secreto trató la toma de Nueva York como un evento de seguridad nacional : ocurrió durante la Asamblea de la ONU, con los diplomáticos concentrados en un área.

Caso práctico: Ataque con SIM Box e interceptor GSM a las comunicaciones diplomáticas

Etapa 1 — Configuración inicial

  • El adversario (unidad patrocinada por el Estado) instala dos piezas de equipo:
    1. Interceptor GSM (IMSI Catcher/Stingray): Desplegado en una furgoneta o un hotel cerca de la ONU. Simula ser una potente torre local (2G/3G).
    2. Clúster de SIM Box: Instalado en una ubicación oculta con cientos de tarjetas SIM de operadores estadounidenses . Estas tarjetas actúan como “suscriptores” dentro de las redes estadounidenses.

Propósito: El interceptor GSM captura el tráfico localmente y el SIM Box lo retransmite de forma invisible a la red .

Etapa 2 — Adquisición de objetivos

  • El diplomático llega a Nueva York con su teléfono personal u oficial (SIM de EE. UU.).
  • El teléfono se conecta automáticamente a la torre falsa (receptor IMSI) porque tiene una señal más fuerte.
  • Atacante inmediatamente:
    • Registra el IMSI/IMEI (identificadores únicos).
    • Fuerza una degradación de 4G/5G → 2G para eliminar el cifrado.

Resultado: El tráfico del diplomático ahora fluye a través de la torre del atacante .

Etapa 3: Interceptación de llamadas y SMS

  • Cuando el diplomático recibe un SMS OTP de un banco o una llamada sensible :
    1. El receptor IMSI lo intercepta primero.
    2. En lugar de dejar caer el mensaje (lo que alertaría a la víctima), el interceptor lo pasa al grupo de SIM Boxs .
    3. El SIM Box vuelve a inyectar el tráfico en la red real de EE. UU. , haciéndolo parecer legítimo.

Resultado:

  • El diplomático recibe SMS OTP de manera normal.
  • El SIM Box registra OTP antes del reenvío.
  • Las llamadas se pueden grabar, reproducir o modificar .

Etapa 4 — Explotación activa

  • Con el acceso OTP, los adversarios pueden:
    • Secuestrar cuentas de correo electrónico o de la nube.
    • Acceda a plataformas financieras.
    • Enviar mensajes falsos al personal para fines de ingeniería social.
  • Con la interceptación de llamadas, los adversarios pueden:
    • Escuchar a escondidas conversaciones diplomáticas.
    • Manipular el enrutamiento de llamadas (por ejemplo, interrumpir o retrasar llamadas).

Etapa 5 — Escala de operación

  • El Servicio Secreto confiscó: 300 SIM Boxes + 100.000 tarjetas SIM .
  • Con esta configuración, los adversarios podrían:
    • Gire las tarjetas SIM constantemente para evitar ser detectadas.
    • Envía millones de mensajes smishing durante la semana de la ONU.
    • Mantenga el acceso persistente a través de múltiples operadores.

No se trata de un solo diplomático: se trata potencialmente de cientos de objetivos de alto valor simultáneamente .

Recomendaciones de mitigación

Para transportistas

  • Desmantelamiento del respaldo 2G/3G.
  • Implemente firewalls SS7/SIGTRAN para filtrar la señalización maliciosa.
  • Detectar IMSI duplicados en múltiples ubicaciones.
  • Fortalezca los servidores de aprovisionamiento de eSIM con controles estrictos basados ​​en HSM y monitoreo interno.

Para empresas

  • Deje de utilizar SMS OTP para la autenticación.
  • Pasar a llaves de hardware (FIDO2, YubiKeys) o MFA basada en aplicaciones.
  • Suscribirse a los feeds de riesgos de telecomunicaciones (detectar anomalías de intercambio/clonación de SIM).

Para usuarios de alto valor (diplomáticos, ejecutivos, periodistas)

  • Trate los SMS como inseguros .
  • Utilice mensajeros cifrados de extremo a extremo (Signal, WhatsApp).
  • Solicitar bloqueos de intercambio de SIM a los operadores.
  • Lleve dispositivos de comunicación seguros separados para trabajo personal, bancario y gubernamental.

Conclusión

La incautación de 300 servidores SIM y 100.000 tarjetas SIM en Nueva York no es sólo un caso de fraude: refleja el uso combinado de las debilidades de las telecomunicaciones tradicionales, nodos físicos no autorizados y abuso de la señalización global en el ciberespionaje moderno.

  • Solo los SIM Boxs = fraude a gran escala.
  • Solo interceptores GSM = vigilancia localizada.
  • El abuso de SS7/SIGTRAN por sí solo = redireccionamiento global.
  • Juntos = nodos de telecomunicaciones rebeldes capaces de generar disrupciones a nivel nacional.

El ecosistema de telecomunicaciones sigue siendo una parte crucial, pero frágil, de la infraestructura global . Hasta que los operadores retiren por completo los protocolos heredados y las empresas abandonen la seguridad basada en SMS, los atacantes, desde estafadores hasta estados-nación, seguirán explotándolo.