El regulador telco de Reino Unido, Ofcom, acaba de publicar un nuevo lineamiento vinculado al sistema global de señalización móvil habilitado por los títulos globales (GTs, por sus siglas en inglés), de cara a robustecer la seguridad. A partir de ahora, ya no se pueden arrendar y los contratos vigentes no podrán tener vida más allá de 2026.
Si, los GTSs -que son las numeraciones que los reguladores otorgan a los operadores móviles para que enruten sus comunicaciones- ya no podrán ser alquilados porque “pueden caer en malas manos”. “Los delincuentes pueden usar Global Titles para interceptar y desviar llamadas y mensajes, y obtener información almacenada en redes móviles. Esto podría, por ejemplo, permitirles interceptar códigos de seguridad enviados por bancos a clientes por SMS. En casos extremos, pueden ser explotados por delincuentes y otros actores maliciosos para rastrear la ubicación física de personas en cualquier parte del mundo”, dijo la Ofcom en el anuncio que realizó este martes.
Cerrar la laguna técnica
En las redes móviles (sobre todo 2G y 3G, pero que también tiene impacto en las 4G), los GTSs se utilizan para enrutar el protocolo del Sistema de Señalización 7 (SS7) que facilita la prestación de servicios, la autenticación de teléfonos móviles en la red, la gestión de perfiles de abonados y la itinerancia, y hasta la posibilidad de obtener información almacenada en redes móviles. Sin embargo, estos GTSs también se alquilan y esto, ahora, pasa a estar prohibido en Reino Unido, como medida de seguridad.
“En manos indebidas, el acceso al sistema global de señalización móvil habilitado por Global Titles puede ser objeto de abuso. Por ejemplo, actores maliciosos podrían intentar interceptar mensajes y llamadas, interrumpir el funcionamiento de las redes y rastrear la ubicación de usuarios de otras redes”, dijo el regulador y estableció la inmediata prohibición de nuevos contratos de arrendamiento de GTSs, como también de la creación o el uso de GT a partir de números subasignados.
Sin embargo, hay GTSs arrendados con contratos vigentes, para los cuales aplazó un año la vigencia de la prohibición de su uso, para el 22 de abril de 2026. “Esto dará tiempo a las empresas legítimas que actualmente alquilan Títulos Globales de redes móviles o utilizan Títulos Globales de números subasignados para buscar alternativas”, aseguró el organismo y aclaró, a su vez, que hasta el 22 de octubre de 2026 serán posible extender algunos casos puntales. Los detalles del caso están disponibles aquí.
“Estamos tomando medidas pioneras a nivel mundial para abordar la amenaza que suponen los delincuentes que obtienen acceso a las redes móviles” dijo Natalie Black, directora del Grupo de Redes y Comunicaciones de Ofcom, y valoró que “los títulos globales arrendados son una de las fuentes más importantes y persistentes de señales maliciosas”.
El regulador aseguró que están “cerrando una laguna técnica que podría suponer un riesgo para la privacidad y seguridad de los usuarios móviles”, pero también de la infraestructura crítica de telecomunicaciones, algo en lo que el continente entero viene haciendo foco, y apuesta a que políticas como éstas favorecen la transparencia y rendición de cuentas de los operadores que utilizan GTSs.
Toda apuesta fue poca para un riesgo grande
“Los esfuerzos de la industria para abordar estos problemas no han sido eficaces, por lo que hoy intervenimos para prohibir el arrendamiento de Títulos Globales con efecto inmediato”, dijo el regulador y señaló que hay antecedentes de organismos, como el Centro Nacional de Ciberseguridad (NCSC) de ese país que ya planteó el riesgo de este tipo de arrendamientos.
Foto de Nadine Shaabana en Unsplash
“Esta técnica, que es utilizada activamente por empresas comerciales no reguladas, plantea riesgos para la privacidad y la seguridad de los usuarios cotidianos, e instamos a nuestros socios internacionales a seguir nuestro ejemplo para abordarla”, destacó Ollie Whitehouse, director técnico del NCSC, quien celebró la medida.
En 2024, Ofcom había realizado una consulta pública al respecto en la que participaron los principales actores de ese mercado, como BT Group (aqui), que dijo: “Apoyamos plenamente el objetivo de Ofcom de evitar que actores maliciosos utilicen las tarjetas de numeración (GT) para actividades maliciosas, proteger a los clientes de comunicaciones maliciosas y restaurar la reputación del rango de numeración +44. Al igual que Ofcom, no queremos que actores maliciosos utilicen las GT para atacar nuestra red ni a nuestros clientes. Reconocemos que Ofcom ha citado el rango de numeración (+44) del Reino Unido como una fuente prolífica de señalización maliciosa a nivel mundial y coincidimos en que es necesario un cambio en la forma en que los proveedores con asignaciones de números en el Reino Unido controlan y supervisan las GT que prestan a terceros”.
La GSMA también trabajó en la creación de consenso en torno al tema. En marzo de 2023 publicó un código de conducta vinculado a los GTSs, que actualizó en noviembre de 2024, y donde estableció las directrices tendientes a minimizar los riesgos asociados al arrendamiento y al uso no autorizado -disponible aquí-. Pero para la Ofcom tampoco fue suficiente.
Hace dos años, un informe de SecurityGen advirtió al mercado mexicano sobre las vulnerabilidades -de privacidad y phishing, además de fraudes relacionados al roaming internacional- debido a los protocolos heredados como el SS7, pero también el Diameter y GTP, a los que caracterizó como “el objetivo de más del 80 por ciento de los hechos registrados”.
Lo cierto es que, si se pone el foco en el protocolo SS7, que fue creado a fines de la década de 1970 cuando el mundo era otro (no sólo por lo analógico), todo parece encajar. En otro siglo, en otro milenio, y en tiempos de transformación digital profunda y de comunicaciones basadas en la nube, los problemas de suplantación de identidad, de ingeniería de datos y de afectaciones de la seguridad (de los usuarios y de las redes de los operadores) involucran cada vez mayores riegos e imponen actualizaciones.
Debe estar conectado para enviar un comentario.