Ola de nuevas amenazas a la ciberseguridad
Grietas secretas de la telefonía móvil, ejércitos de 'routers' zombis... nuevos incidentes y descubrimientos vuelven a recordarnos que vivimos en un ecosistema digital tan cómodo como frágil
BarcelonaDesde algún lugar del mundo, alguien puede saber en todo momento dónde estás. No porque haya infectado tu teléfono con un software espía, accedido a tu rastro de Google Maps o convencido de instalar nada. Solo le hace falta explotar las rendijas de una arquitectura diseñada hace 50 años para interconectar las redes de telefonía móvil de países diferentes.
Los espías que viven en el roaming
El Citizen Lab de la Universitat de Toronto, el mismo grupo de investigación que en 2022 documentó el espionaje a independentistas catalanes con el software Pegasus del grupo israelí NSO, ha publicado ahora un informe sobre dos campañas de geolocalización subrepticia de teléfonos móviles que aprovechan vulnerabilidades estructurales de los protocolos SS7 y Diameter.
El SS7 es el protocolo que desde los años 70 hace posible la itinerancia (roaming) internacional: usar nuestro teléfono con operadores de otros países. Se diseñó cuando había confianza entre compañías: no tiene mecanismos para verificar de dónde vienen las órdenes, y cualquiera con acceso a la red de señalización puede hacerse pasar por un operador legítimo para obtener la posición de un terminal. El Diameter, creado para la 4G, añadió cifrado y autenticación, pero muchos operadores no han activado todas las protecciones, y como la 4G debe ser compatible con las generaciones anteriores, basta con ir cambiando de protocolo hasta encontrar el fallo. Sobre el papel, la 5G mejora la seguridad, pero la mayoría de las redes 5G actuales todavía dependen de la infraestructura 4G y las protecciones adicionales a menudo son opcionales.
Uno de los actores, identificado como STA1 en el informe, es una plataforma vinculada a Circles, empresa que el sector considera relacionada con el mencionado grupo NSO. Los investigadores aseguran que en noviembre de 2024 ejecutó una operación de seguimiento contra un objetivo de alto valor mediante las redes de operadores de Israel y el Reino Unido, entre otros. Un segundo actor (STA2) fue un paso más allá, enviando a la tarjeta SIM mensajes SMS con órdenes ocultas que transforman el dispositivo en una baliza de localización. El usuario no ve nada en la bandeja de entrada; el móvil simplemente obedece y envía su ubicación al atacante.
La ironía es que los espías explotan un defecto de las mismas redes que, por definición, ya saben dónde estamos –deben saber en todo momento a qué antena enviarnos los bits–, pero que solo pueden facilitar esta información a las autoridades por orden judicial.
El descubrimiento de Citizen Lab preocupa no tanto por la novedad de las vulnerabilidades, sino también por la creciente sofisticación de los actores que las explotan: las mismas identidades de operador se reutilizan durante años en campañas persistentes que pasan desapercibidas. Mientras no haya una regulación estricta y una adopción obligatoria de los estándares de seguridad, las redes móviles continuarán siendo una plataforma de vigilancia global muy práctica para quien sepa aprovecharla.
'Routers' zombis para una guerra futura
En otro ámbito, 16 agencias de ciberseguridad de 10 estados aliados –incluido el Centro Criptológico Nacional (CCN) español– han alertado de otro caso de escala muy diferente. El aviso conjunto describe una operación atribuida a actores vinculados a China que consiste en infectar de manera silenciosa millones de dispositivos de consumo: routers domésticos, cámaras de videovigilancia, electrodomésticos conectados... La finalidad no es robar datos ahora, sino desplegar un ejército latente.
En lugar de mantener una infraestructura de ataque cara, visible y fácil de bloquear, estos actores comprometen dispositivos que sus propietarios no actualizan nunca. Cada router infectado pasa a ser un nodo de una red cautiva que redirige tráfico malicioso y se hace invisible para los sistemas de detección tradicionales: cuando se bloquea un nodo, otro lo sustituye automáticamente. No se trata de una amenaza activa, sino de una preparación: en caso de conflicto, estas redes podrían activarse para inutilizar infraestructuras críticas. Vuestro router podría formar ya parte de un arsenal a disposición de un gobierno extranjero.
Las autoridades hacen recomendaciones concretas a los usuarios: actualizar habitualmente el software de los routers y dispositivos conectados; cambiar las contraseñas por omisión, aquellas que hay en una etiqueta debajo del aparato; desactivar el acceso remoto si no se utiliza; y aplicar el principio de "si no es necesario tenerlo conectado, desconéctalo". Pero es sabido que pocos consumidores son tan sistemáticos.
Las autoridades aguantan el tipo
Un cierto consuelo es que las autoridades pueden ser tan tercas como los atacantes. Sin ir más lejos, la Agencia de Ciberseguridad de Cataluña asegura que en el año 2025 gestionó un total de 6.544 incidentes contra la infraestructura digital de la Generalitat –el doble que el año anterior–, de los cuales 26 fueron calificados de graves. Los ámbitos más afectados fueron las universidades, el sector sanitario y la propia administración.
Otro ejemplo es la operación PowerOff de Europol: hace dos semanas, una acción policial con la participación de 21 países derribó 53 dominios vinculados a servicios de DDoS de alquiler, las plataformas que permiten a cualquier cliente interesado pagar para paralizar una empresa o un servicio. Se detuvieron a cuatro personas y se requisaron datos de más de tres millones de cuentas. La operación lleva activa desde 2017 y asegura duplicar resultados en cada nueva acción. Este trabajo policial funciona gracias a la coordinación transfronteriza, que depende de la voluntad política. El problema es de volumen: los ataques crecen exponencialmente mientras la respuesta se mueve a ritmo de trámite judicial.
Tu empresa te espía
Las amenazas a la privacidad a veces vienen de alguien que conoces: tu empresa. Meta Platforms acaba de poner en marcha el programa interno Model Capability Initiative (MCI), que captura en los ordenadores de sus empleados en EE. UU. los movimientos del ratón, las pulsaciones de teclado e instantáneas de la pantalla para entrenar agentes de IA. Cuando un trabajador preguntó al CTO Andrew Bosworth si era posible darse de baja, la respuesta fue un 'no' contundente. La única excepción la pone el RGPD europeo, que impide aplicar el programa a nuestro continente. Expertos coinciden en que probablemente la práctica es legal en EE. UU., pero el consentimiento obtenido bajo amenaza de despido no es genuino.
La lección que se desprende: separa la vida laboral de la personal, no mires el correo privado con el ordenador del trabajo, y no dejes archivos particulares en el servidor de la empresa. Cuando pude consultar los datos que unos maleantes sustrajeron en el año 2022 al Consorci Sanitari Integral, me impresionó más la cantidad de información doméstica de los empleados (trabajos escolares, reservas de vacaciones familiares) que los datos sanitarios de los pacientes. Todavía circulan por la web oscura, a disposición de cualquiera que quiera comprarlas.
