Cuando hablamos por teléfono, desvelamos una gran cantidad de información sobre nuestras vidas: qué estamos haciendo en ese momento, dónde estamos y dónde vamos a ir, cuáles son nuestros gustos o aficiones o incluso detalles sobre nuestro trabajo que probablemente sean confidenciales. Si hablamos con nuestro banco telefónicamente, podemos revelar nuestro nombre y apellidos, nuestra fecha de nacimiento e incluso los últimos movimientos de nuestra cuenta.
Celosos como somos de nuestra privacidad, cuando tenemos una conversación sobre un asunto delicado, cerramos la puerta de la habitación o susurramos en voz baja para evitar que los potenciales cotillas que nos rodean se enteren de nuestras intimidades. Sin embargo, esas medidas de seguridad pueden servir de poco si tienes un Samsung Galaxy entre manos.
Así lo han demostrado dos expertos en seguridad informática, Daniel Komaromy y Nico Golde, en la reciente conferencia Mobile Pwn2Own de Tokio, ya que han conseguido interceptar las llamadas de los Galaxy S6, S6 Edge o Note 4.
El dúo de investigadores se aprovechó para ello del chip de banda base de estos dispositivos, que se encarga de todas las comunicaciones por radio. Para conseguir acceder a él, efectuaron un ataque ‘man in the middle’. Esta clásica técnica permite que un ciberdelincuente sea capaz de leer e interceptar los mensajes de sus víctimas sin que se den cuenta.
En su caso, lograron interceptar las llamadas de voz conectando estos dispositivos con una estación falsa, haciendo creer a los smartphones cercanos que se trataba de una legítima torre de telefonía.
Una vez conectados, estos expertos en seguridad pudieron comunicarse de forma remota con el procesador de banda base sin el conocimiento del usuario. Desde ese momento ya tenían vía libre para interceptar, escuchar e incluso grabar las llamadas de teléfono. Estos investigadores lograban con este sencillo método espiar esos dispositivos.
Ahora bien, ¿significa esto que cualquier ciberatacante podría tomar fácilmente el control de mi Galaxy y escuchar las confidencias que comparto con mis allegados? Komaromy y Golde han destacado que el sistema que han presentado es tan solo un ejemplo: la idea sería después redirigir las llamadas a un proxy para realizar el verdadero ataque y permitir después que la llamada llegue a su auténtico destinatario.
Además, estos expertos no han divulgado todos los detalles de su experimento y han informado de su descubrimiento a Samsung, de forma que la compañía podrá resolver próximamente esta vulnerabilidad para evitar que las conversaciones de sus clientes terminen en manos de terceros.
Por desgracia, este es solo uno más de los múltiples métodos que puede utilizar un ciberatacante para cometer sus fechorías. Como ya te contamos hace unos meses, algunos ciberdelincuentes ya han desarrollado programas espía para activar nuestro micrófono de forma remota.
Incluso un grupo de investigadores de la Universidad de Stanford desarolló Gyrophone, una aplicación que utilizaba el giróscopo para captar las vibraciones de sonido de la voz humana y espiar las llamadas de esta forma.
Aunque no vamos a decirte que dejes de hablar por teléfono móvil, cabe recordar que no es conveniente transmitir las claves de tu cuenta bancaria ni las de tu ordenador o smartphone en una llamada.
Este consejo es especialmente importante si tu actividad profesional requiere un alto grado de confidencialidad. Preocuparse porque tu dispositivo sea lo más seguro posible para prevenir posibles ataques es otra de las advertencias que has de tener en cuenta. Nunca sabes si un ciberatacante va a interesarse por escuchar tus conversaciones.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
