Amenazas Móviles 2025
La Capa de Aplicación
Donde la Conveniencia y la Vulnerabilidad Chocan
Subiendo en la pila desde la infraestructura de red central, las aplicaciones y servicios con los que los usuarios interactúan directamente presentan su propio conjunto distintivo de vulnerabilidades.
Ver: Entendiendo las Amenazas de Capa de Aplicación
Profundiza en cómo las aplicaciones modernas crean nuevos vectores de ataque y lo que las organizaciones necesitan saber para protegerse en 2025.
Los Riesgos No Vistos de Voz sobre Wi-Fi (VoWiFi) y VoLTE
VoLTE y VoWiFi representan un cambio de la voz tradicional conmutada por circuitos a llamadas conmutadas por paquetes sobre redes IP. Esta transición, sin embargo, ha introducido nuevas superficies de ataque a nivel de aplicación.
Vulnerabilidades VoLTE
Aunque VoLTE opera sobre el espectro celular licenciado, las fallas en su implementación pueden llevar a violaciones severas de privacidad. Una notable vulnerabilidad de 2025 descubierta en la red del Reino Unido de O2 demostró cómo los mensajes de señalización verbosos e incorrectamente saneados podrían ser explotados.
Filtración de Datos O2 Reino Unido (2025)
Durante la configuración estándar de una llamada VoLTE, se encontró que los encabezados SIP (Protocolo de Iniciación de Sesión) de la red estaban filtrando los datos de IMSI, IMEI y ubicación precisa de torre celular tanto del llamante como del receptor en forma no cifrada. Esto permitió que cualquier cliente de O2 con herramientas de diagnóstico básicas rastreara trivialmente la ubicación en tiempo real de cualquier otro cliente de O2, incluso cuando estaba en roaming en el extranjero.
Más allá de la filtración de datos, también se han encontrado vulnerabilidades en las pilas VoLTE de módems de dispositivos, como una falla de corrupción de memoria en ciertos componentes Qualcomm que podría activarse durante una llamada, llevando a una potencial denegación de servicio.
Vulnerabilidades VoWiFi
VoWiFi extiende los servicios de voz sobre cualquier red Wi-Fi, lo cual es tanto su beneficio principal como su mayor debilidad. Cuando un usuario se conecta a un punto de acceso Wi-Fi público no confiable, sus llamadas están expuestas a ataques de red locales.
Ataques de Hombre en el Medio
Un atacante en la misma red Wi-Fi puede realizar un ataque de suplantación de Protocolo de Resolución de Direcciones (ARP) para posicionarse entre el dispositivo del usuario y el enrutador Wi-Fi. Desde esta posición, pueden interceptar y descartar paquetes de voz o señalización, llevando a degradación de llamadas, llamadas caídas o falla completa de llamadas.
Cifrado Débil
Aunque se supone que las comunicaciones VoWiFi están aseguradas dentro de un túnel IPsec, la seguridad de este túnel es primordial. Investigación reciente ha descubierto vulnerabilidades críticas que provienen de una implementación deficiente tanto de proveedores de equipos de red como de fabricantes de dispositivos.
Vulnerabilidades Globales VoWiFi (2024)
<strong>Falla de Equipo ZTE:</strong> Al menos 13 operadores móviles que usan equipos de red central de ZTE estaban usando las mismas claves privadas estáticas, no aleatorias para el proceso de intercambio de claves VoWiFi, afectando a más de 140 millones de clientes globalmente. Esto permite a cualquiera que posea estas claves descifrar y espiar comunicaciones VoWiFi.
<strong>Vulnerabilidad de Chipset MediaTek:</strong> Se descubrió una falla en muchos nuevos dispositivos 5G que usan chipsets MediaTek que permitía a un atacante activo forzar una degradación al cifrado más débil posible, haciendo trivial la escucha clandestina.
La "Aplicación de Mensajería Segura" Paradoja
Más Allá del Cifrado de Extremo a Extremo
El cifrado de extremo a extremo (E2EE) ha sido comercializado a consumidores como la garantía definitiva de privacidad. Aplicaciones como WhatsApp, Signal y Telegram están construidas alrededor de este principio, asegurando que solo el remitente y el receptor previsto pueden leer el contenido de un mensaje. Sin embargo, este enfoque estrecho en el cifrado de contenido crea una falsa sensación peligrosa de seguridad, ya que ignora la vasta superficie de ataque que existe alrededor del mensaje cifrado mismo.
Un sistema de comunicación verdaderamente seguro debe proteger no solo el contenido del mensaje sino todo el ecosistema. Las aplicaciones E2EE de grado consumidor fallan en varios frentes críticos:
Filtración de Metadatos
Mientras que el "qué" del mensaje está cifrado, el "quién, cuándo, dónde y cómo" no lo están. Estas aplicaciones generan un tesoro de metadatos altamente reveladores, incluyendo números de teléfono, direcciones IP, marcas de tiempo e información de membresía de grupo. Estos metadatos pueden ser tan sensibles como el contenido del mensaje mismo.
Copias de Seguridad No Cifradas
La mayoría de los usuarios respaldan su historial de chat a servicios de nube de terceros como Google Drive o iCloud. Sin embargo, estas copias de seguridad en la nube típicamente no están protegidas por el cifrado de extremo a extremo de la aplicación. Si un atacante obtiene acceso a la cuenta de nube de un usuario, obtiene acceso a todo el historial de mensajes descifrado del usuario.
Riesgos Centralizados
Las aplicaciones de mensajería para consumidores dependen de servidores centralizados para enrutar mensajes y gestionar servicios. Esto crea un único punto de falla que puede ser objetivo de hackers, sujeto a órdenes de interceptación legal o sufrir vulnerabilidades que permiten disrupción de servicio.
Impacto del Mundo Real
• La recolección de metadatos de WhatsApp es usada por Meta para publicidad dirigida
• Una filtración masiva de datos de Telegram en 2024 expuso los metadatos de millones de usuarios, poniéndolos en riesgo de phishing y robo de identidad
• Las vulnerabilidades de copia de seguridad en la nube socavan completamente la promesa del cifrado de extremo a extremo
El Elemento Humano
Ingeniería Social vía SMS y SIMs
Más allá de los exploits técnicos de redes y aplicaciones, los atacantes continúan encontrando inmenso éxito al apuntar al eslabón más débil en cualquier cadena de seguridad: las personas. Estos ataques socio-técnicos explotan la psicología humana y procesos administrativos defectuosos.
Smishing (Phishing por SMS)
Esta es una forma de phishing que usa mensajes de texto como su vector de entrega. Es altamente efectivo porque los usuarios tienden a poner más confianza y urgencia en SMS comparado con email. Los atacantes crean mensajes que se hacen pasar por entidades confiables—bancos, agencias gubernamentales, servicios de entrega, o incluso colegas del objetivo—y crean un falso sentido de urgencia para manipular a la víctima hacia la acción.
El objetivo es engañar al usuario para que haga clic en un enlace malicioso, que lleva a un sitio web de recolección de credenciales, o para descargar e instalar malware directamente en su dispositivo.
Intercambio de SIM (Secuestro de SIM)
Este ataque evita completamente el dispositivo del usuario y apunta a los procedimientos administrativos de los operadores móviles. Un estafador primero reúne información personal sobre un objetivo a través de filtraciones de datos, perfiles públicos de redes sociales o phishing. Armado con estos datos, el atacante contacta al proveedor móvil de la víctima y, usando ingeniería social, convence al representante de servicio al cliente de portar el número de teléfono de la víctima a una nueva tarjeta SIM controlada por el atacante.
Una vez que el intercambio se completa, el atacante recibe todas las llamadas entrantes y mensajes de texto de la víctima. Esto se usa más frecuentemente para interceptar códigos 2FA, permitiendo al atacante restablecer contraseñas y tomar control de cuentas en línea sensibles.
Impacto Financiero del Mundo Real
Casos del mundo real han demostrado el impacto financiero devastador, incluyendo una instancia donde un atacante liquidó la cartera de acciones de una víctima por valor de más de $160,000.
Estos ataques demuestran que asegurar las comunicaciones móviles requiere una vista holística que se extiende más allá de las defensas puramente técnicas. Debe considerar las vulnerabilidades inherentes en el usuario humano y los procesos administrativos falibles de los operadores de terceros que sustentan todo el ecosistema móvil. Un sistema verdaderamente seguro debe diseñarse para minimizar o eliminar la dependencia de estos factores externos impredecibles.