Lanzan alertas falsas usando vulnerabilidades en LTE

Un grupo de especialistas en auditorías de sistemas se las arregló para engañar al sistema de alerta presidencial enviando un falso mensaje imposible de ser bloqueado a los teléfonos de los asistentes a un estadio de fútbol con capacidad para 50 mil personas.

El equipo, compuesto por investigadores de la Universidad de Colorado Boulder, encontró la forma de falsificar la alerta y enviarla usando radio definida por software, que está al alcance de cualquier usuario; además, los expertos realizaron algunas modificaciones a las bibliotecas de código abierto NextEPC y srsLTE. El experimento mostró una tasa de efectividad del 90%.

Acorde a especialistas en auditorías de sistemas, la Alerta Inalámbrica de Emergencia (WEA) es operada por la Agencia Federal de Manejo de Emergencias de E.U. y tiene como propósito garantizar una comunicación rápida y efectiva entre el presiente y los ciudadanos en caso de emergencia. Estas alertas presidenciales no pueden ser desactivadas o bloqueadas, en otras palabras, no importa si el peligro es real o es una falsa alarma, los teléfonos siempre recibirán estas alertas.

En su investigación, los especialistas mencionan que usaron estaciones base portátiles para imitar la señal LTE enviada por las torres de telefonía móvil. Las pruebas fueron realizadas en el Folsom Field de la Universidad de Colorado, con capacidad para 50 mil personas; aunque las alertas no llegaron a todo ese público, los expertos descubrieron que eran capaces de enviar estos mensajes tanto a usuarios de Android como de iOS.

“Usando cuatro estaciones base portátiles de solamente un watt de potencia pudimos enviar el mensaje a casi todos los espectadores en el estadio con una tasa de éxito de poco más del 90%”, explicaron los investigadores.

Acorde a los expertos en auditorías de sistemas del Instituto Internacional de Seguridad Cibernética (IICS) los actores de amenazas podrían emplear un ataque similar para engañar a decenas de miles de personas con mensajes falsos anunciando supuestos ataques terroristas hasta desastres naturales.

Los investigadores consideran que han descubierto una vulnerabilidad masiva en la red de telefonía móvil de E.U. y, aunque afirman que el problema se puede corregir, ninguna de las posibles soluciones será fácil de implementar.