RCS: el sustituto de los SMS está plagado de agujeros de seguridad
RCS, el sucesor de los SMS, está plagado de agujeros de seguridad. Según los investigadores de Security Research Labs, la implementación del protocolo Rich Communication Services por parte de los operadores pone en riesgo la privacidad de sus usuarios. Aprovechando las brechas, un atacante puede espiar los SMS y las llamadas de los abonados sin su conocimiento;
RCS, el protocolo diseñado para sustituir a los tradicionales SMS, está plagado de fallos de seguridad, según afirman los expertos de Security Research Labs a Motherboard. Según ellos, la forma en que este nuevo protocolo es desplegado por los operadores corre el riesgo de poner en peligro a sus abonados. «Me sorprende que grandes empresas, entre ellas Vodafone, introduzcan una tecnología que expone a cientos de millones de abonados, sin preguntarles y sin decirles nada», dijo Karsten Nohl, experto en ciberseguridad de Security Research Labs, a Motherboard.
Como es lógico, el informe de Security Research Labs no entra en demasiados detalles sobre cómo los atacantes maliciosos pueden explotar el nuevo protocolo. No obstante, los investigadores aseguran que el RCS puede, en teoría, permitir a los hackers interceptar y espiar tus llamadas de SMS/ e incluso tu ubicación.
De hecho, cualquier aplicación instalada en tu smartphone es capaz de acceder a los archivos intercambiados a través del RCS. Un malware para Android que consiguiera infiltrarse en el teléfono no tendría aparentemente ningún problema para recoger estos datos. «Creemos que esto es en realidad un paso atrás respecto a los SMS», dice Karsten Nohl.
Errores dignos de los años 90
Security Research Labs añade que el protocolo RCS también es vulnerable a los ataques de fuerza bruta/. El código transmitido por los operadores para verificar la identidad de un abonado suele tener sólo 6 dígitos. «Todos estos errores de los años 90 se están reinventando y reintroduciendo», lamenta Karsten Nohl.
Los investigadores presentaron los resultados de su investigación a la Asociación GSM (GSMA), una asociación que representa a casi 800 operadores y fabricantes. La organización asegura que estos fallos ya habían sido detectados y que están previstos parches. Según la Asociación GSM, las infracciones sólo afectan a «ciertas implementaciones de RCS».
«Agradecemos a los investigadores que hayan permitido a la industria revisar sus conclusiones. La GSMA agradece cualquier investigación que mejore la seguridad y la confianza de los abonados y anima a todos los investigadores a presentar sus trabajos a nuestro programa de divulgación», afirma un portavoz. Algunos operadores, como Vodafone, dicen que se tomarán medidas en breve para proteger a los abonados. Como recordatorio, el RCS está disponible en España desde el pasado mes de julio.