Grave fallo de seguridad podría invalidar muchas escuchas telefónicas

Por José Manuel Gómez

Investigadores de la Universidad de Pennsylvania, encabezados por Matt Blaze [1], acaban de publicar un trabajo titulado Signaling Vulnerabilities in Wiretapping Systems [2, 3] en el ejemplar de Noviembre/Diciembre de la prestigiosa revista Security & Privacy [4], editada por el IEEE.

El trabajo evalúa la fiabilidad de las tecnologías utilizadas por las agencias de seguridad norteamericanas para interceptar y grabar llamadas telefónicas, y descubre en ellas vulnerabilidades que podrían permitir al investigado detener la grabación a distancia y a voluntad, además de falsificar los números marcados.

En la línea de los mejores tiempos del phreaking y los 2600Hz, Blaze y sus colaboradores han descubierto que basta con suministrar al auricular una determinada señal de audio para que el sistema de escucha interprete que se ha colgado y, por tanto, detenga la grabación. Incluso han suministrado dos MP3 de demostración, uno [5] que representa el corte de la grabación debido a la emisión del tono, y otro [6] que muestra cómo la conversación continúa cuando el sistema de escucha ya ha detenido la grabación...

El FBI ha minimizado la importancia de los hallazgos de Blaze diciendo que tan sólo afectarían al 10% de sus equipos. En ese sentido Blaze ha admitido que los sistemas más vulnerables son los que espían redes telefónicas analógicas, en que se utilizan las clásicas pinzas de cocodrilo para interceptar las líneas, pero también ha dicho que esos sistemas son aún ampliamente utilizados, sobre todo a nivel de agencias estatales y locales. Al parecer el propio FBI solicitó en 1999 que el tono que permite detener la grabación a distancia fuera mantenido en las nuevas tecnologías de interceptación digitales, lo que ha podido prorrogar la efectividad de las vulnerabilidades ahora publicadas.

Los ingenieros que trabajan en sistemas antiescuchas conocían hace tiempo estas vulnerabilidades, por lo que es posible que algunos delincuentes ya las hayan aprovechado, algo que explicaría por qué determinadas escuchas han sido rechazadas en los tribunales sin que se aclarara nunca la causa.

A los lectores de Kriptópolis no se les escapará que nos encontramos -otra vez- ante el fracaso de la denominada "seguridad basada en la oscuridad", en que algunas personas conocen determinado "secreto" (que parece ser una especie de secreto a voces en este caso) y el resto de mortales son mantenidos en la ignorancia hasta que se hace la luz.

El trabajo de Blaze acaba de iluminar otra parcela de oscuridad.

1. Matt Blaze
2. Signaling Vulnerabilities in Wiretapping Systems [Presentación]
3. Signaling Vulnerabilities in Wiretapping Systems [Trabajo completo, pdf]
4. IEEE Security & Privacy
5. Grabación cortada por el escuchado
6. Grabación completa de la conversación

(fuente:http://www.kriptopolis.org/node/1520)