Voice recording image

XCell Seguridad

Cifrado de llamadas de voz: ¿protege realmente su intimidad?

Icono de blog escrito por XCell Technologies
Calendar icon

Publicado el 06 abril 2021

“Si el cifrado supusiera alguna diferencia, no nos dejarían usarlo”, dijo alguien.

Las llamadas cifradas le protegen de quienes no quieren (o no pueden) escuchar sus llamadas. Pero no le protegen en absoluto de quienes sí pueden escuchar sus llamadas: las fuerzas del orden, la seguridad nacional y los servicios de inteligencia. ¿Le parece lógico? Si no es así, sigue leyendo.

La mayoría de la gente cree que el cifrado de llamadas es el santo grial de las comunicaciones seguras y que también está a la vanguardia del desarrollo de software de seguridad móvil. Pero, ¿por qué es así? ¿Es por las películas de 007? No, no es así. Porque es el único producto que se puede encontrar actualmente en el abarrotado mercado de productos y soluciones de seguridad. Desde dispositivos de hardware hasta sofisticadas aplicaciones de software, todos afirman que cifrar las llamadas de voz de tu móvil es lo mejor que puedes conseguir y que no hay ninguna otra solución fiable. Por desgracia, las llamadas cifradas no ofrecen ninguna seguridad real si eres objetivo de las fuerzas de seguridad (abusivas o no), de las agencias de seguridad nacional o de inteligencia, o lo que es peor, si te conviertes en el blanco de un hacker experto.

No te fíes, no hace falta. Sólo tienes que buscar en Google “voice call encryption hack”. Inmediatamente encontrará multitud de artículos.

Los que utilizáis productos de cifrado de voz en los teléfonos móviles menos os esperáis que descifrarlos e interceptarlos pueda ser fácil. Puede que haya pagado mucho dinero por su aplicación y confíe en ella para garantizar su seguridad mental. Pero, ¿y si esa seguridad no fuera tan hermética como pensabas, si un programa de escucha fácilmente accesible a cualquiera y un simple troyano plantado en tu dispositivo pudieran comprometer todas tus llamadas?

En 2010, el bloguero, hacker y experto en seguridad informática Notrax hizo exactamente eso. Por su propia seguridad, no mencionaremos su nombre. Pero Notrax descubrió que 12 productos de cifrado de voz disponibles en el mercado pueden interceptarse y comprometerse con un poco de ingenio y creatividad, como detalla en su sitio web.
En total, probó 15 productos de cifrado de voz, 12 de los cuales resultaron “inútiles”. Es fácil creer al software cuando nos “dice” que la llamada es segura. Pero, ¿cómo podemos fiarnos realmente? Notrax ha llevado a cabo una investigación y ha descubierto: Casi todos los sistemas pueden descifrarse en menos de 30 minutos.

Seguro significa que Notrax no fue capaz de descifrarlo. Pero eso no significa que otra persona no pueda descifrarlas.

Estas llamadas pueden ser intervenidas por cualquiera con conocimientos técnicos básicos o los medios para financiar tal empresa. “Las estadísticas muestran que las agencias gubernamentales realizan una media de 50.000 escuchas legales al año (legales = acciones que requieren una orden judicial), y que otros 150.000 teléfonos son pinchados ilegalmente por investigadores privados, cónyuges, novios y novias que intentan atrapar a un defraudador potencial. Según otra estimación, hasta 100.000 teléfonos de empresas y particulares son objeto de escuchas en el marco del espionaje industrial. Esta es la realidad y es un gran negocio.

NoTrax encrypted voice call crack

SnapCell era seguro. Se trata de un dispositivo de cifrado privado que se conecta a tu móvil y que, según afirman, protege tus comunicaciones móviles de voz, fax y datos de escuchas telefónicas y escuchas clandestinas e interferencias en la línea. El sitio web de SnapCell lleva fuera de línea desde el 21 de enero por razones desconocidas. Haga clic aquí para acceder al sitio web.
Si utiliza alguna de las tecnologías de cifrado de voz mencionadas, quizá le interese buscar una nueva solución, como los XCell Stealth Phones. Aunque estas aplicaciones crackeadas no son del todo seguras, haría falta mucho esfuerzo para saltárselas, como que el atacante pudiera cargar un software o un troyano en tu teléfono sin que lo supieras. Es similar a una tarjeta de crédito, así que mientras la lleves contigo en un lugar seguro no deberías tener problemas en su mayor parte.

¿Crees que las redes móviles LTE son seguras? Pues piénsatelo dos veces: los hackers desencriptan el cifrado VoLTE para espiar las llamadas de la gente. Más información aquí.

Más contras del cifrado de voz

Aunque el uso de la encriptación para proteger su privacidad podría ser la elección prudente, el método tiene sus propias desventajas:

  • Debido a que un teléfono móvil (no importa la marca, OS, ram o chipset) no tiene suficiente capacidad de cálculo para cifrar / descifrar una llamada telefónica a nivel local, el cifrado de voz tiene lugar en servidores de terceros. Esto significa que la aplicación de cifrado de voz que acabas de instalar en tu smartphone “seguro” actúa como un enlace al servidor de cifrado. De esta forma, sólo utilizando una conexión de datos (WIFI, etc.) y saliendo al mundo exterior del teléfono puedes utilizar dicha aplicación. El problema es que un servidor es en realidad el ordenador de otra persona. No se puede averiguar quién se esconde realmente detrás de ese servidor. Algunos fabricantes de equipos criptográficos tienen un historial de cooperación oculta con agencias de inteligencia y empresas privadas interesadas. Algunos de ellos ni siquiera utilizan algoritmos criptográficos estandarizados y sometidos a escrutinio público (como Diffie-Hellman, SHA256, AES y Towfish), sino métodos de cifrado “propietarios” que no están disponibles para su evaluación pública. Varios criptoalgoritmos “patentados” que no estaban sujetos a revisión pública han demostrado ser fácilmente descifrables en el pasado, como el algoritmo COMP128 que se utiliza en muchas redes GSM para la autenticación, por lo que el enfoque de “criptografía patentada” debe considerarse muy arriesgado. A fin de cuentas, eso significa que no tienes ningún control real sobre tus llamadas de voz.
  • Introducir una puerta trasera en un sistema criptográfico ni siquiera requiere la cooperación activa del fabricante del equipo o del software. Basta con un programador sobornado para comprometer todo un producto.
  • Nunca se sabe si la solución de encriptación que se utiliza es realmente fiable y no hay ninguna forma fiable de comprobarlo. La mayoría de los desarrolladores de aplicaciones de cifrado no hacen público el código fuente. Puede haber (y la mayoría de las veces las hay) puertas traseras utilizadas por las fuerzas de seguridad. Por supuesto, puedes encontrar el código fuente de algunas aplicaciones de cifrado, que el propio desarrollador pone a disposición del público. A menos que no seas criptógrafo o criptoanalista, no hay forma de que el ciudadano de a pie averigüe si algún fallo de seguridad afecta a tu aplicación de cifrado.

Existe una clave maestra para todos los sistemas de cifrado

¿Usarás una aplicación de encriptación que tenga servidores ubicados en, digamos… ¿Corea del Norte? Probablemente no, pero tienes que reconsiderar tu opinión. En pocas palabras, cuanto más consolidada está una democracia, más fácil es para las fuerzas de seguridad acceder a los servidores de cifrado, con una simple orden judicial. Todo ello porque los países de democracia consolidada conocen lo que llamamos Estado de Derecho. Dado que las aplicaciones de encriptación no se desarrollan fuera de este planeta y que todos los servidores de encriptación residen en algún condado, el Gobierno y las instituciones relacionadas disponen de una sencilla herramienta llamada orden judicial que “abrirá” instantáneamente cualquier servidor “encriptado” utilizado para la llamada comunicación “segura”. Sí, es cuestión de tiempo. Pero al final obtendrán una copia de texto o voz sin formato. Por no mencionar que la NSA y otros actores similares tienen herramientas y soluciones que eluden eficazmente cualquier aplicación de cifrado, utilizadas hoy en día para averiguar en tiempo real lo que están buscando.

Utilizar el cifrado de llamadas de voz puede hacerte parecer sospechoso y atraer atención no deseada sobre ti, exactamente de aquellos de los que intentas esconderte. Es como una campana que suena pegada a tu cola. Tenga una conjetura salvaje en lo que harán en caso de que el uso de un teléfono celular encriptado. Seguro que utilizarán otros medios para conseguir la información que necesitan. No esperarán a encontrar algún fallo de seguridad en tu aplicación criptográfica, ni siquiera intentarán descifrarla. Simplemente pondrán micrófonos en tu casa, oficina y vehículo, espiarán tu ordenador, interceptarán tu correo y utilizarán fuentes encubiertas de inteligencia humana (HUMINT) y lo que haga falta para obtener información relevante sobre ti y tus actividades. Pueden eludir fácilmente la protección de las comunicaciones que ofrecen los teléfonos encriptados simplemente recopilando información relevante de otras fuentes. Así de sencillo. Sí, no es en tiempo real. Pero puede estar muy cerca de eso.

Si eres objetivo de una agencia de inteligencia, cifrar tus comunicaciones móviles no significa que estés protegido al 100% contra las escuchas. Piénsalo: ¿te dejarán caer sólo porque utilizas comunicaciones cifradas? No, seguro. Al ser un reto para ellos, encontrarán otras formas de conseguir la información que necesitan. Claro, durante un corto periodo de tiempo tus secretos permanecerán… secretos. Pero cualquier agencia decente encontrará en cualquier momento brechas de seguridad, recopilando información que necesitan sobre ti, por cualquier medio.
En realidad, al cifrar tus conversaciones telefónicas, les estás diciendo que tienes algo importante que ocultar e invitas a las agencias a utilizar otros medios para recabar información.

Cuando se utiliza la encriptación a través de canales de voz estándar de la red móvil (no a través de conexión de datos) como los dispositivos de encriptación conectados a tu teléfono móvil, esa llamada encriptada no está tan… encriptada como crees. Sí, te defenderá contra la interceptación de llamadas realizada por aplicaciones de software espía instaladas en tu teléfono, porque el micrófono del teléfono no se utiliza durante las sesiones de llamadas cifradas. Pero incluso si utiliza un dispositivo de este tipo, el operador GSM o la entidad que opera un interceptor GSM puede averiguar bastante información como:

  • Ambos números de teléfono implicados en la conversación.
  • Duración de la conversación, marca de tiempo.
  • Su ubicación (teléfono) en el momento de la llamada.
  • Su geo-localización en cada momento, mediante algunas técnicas de triangulación simples y eficaces, basadas en el IMEI de su teléfono que no puede ser ocultado por ninguna aplicación de cifrado. Una vez que encienda su teléfono criptográfico, IMEI e IMSI (si hay una tarjeta SIM insertada) serán enviados a la red, para la conexión. No es necesario hacer ninguna llamada ni enviar ningún SMS. Esta es la forma en que todos los teléfonos celulares funcionan, incluyendo su teléfono criptográfico.

Se conocen los puntos débiles de otros criptoteléfonos

  • Los interceptores GSM modernos pueden utilizar los valores IMEI y/o IMSI para bloquear selectiva y temporalmente cualquier teléfono móvil dentro de su alcance. Esto significa que el criptoteléfono en cuestión no puede utilizarse durante un determinado periodo de tiempo. Esto ocurre cuando un criptoteléfono utiliza una conexión de datos para llamadas cifradas.
  • Se sabe que el cifrado de teléfonos móviles requiere una conexión a Internet de alta velocidad. Muchos interceptores GSM modernos son capaces de reducir la conexión de tu criptoteléfono de 3G/4G a 2G simplemente interfiriendo las frecuencias 3G/4G para el enlace ascendente, lo cual es un procedimiento estándar. De este modo, los criptoteléfonos que utilizan enlaces de datos fallarán y quedarán inutilizables.

Ni siquiera los teléfonos móviles encriptados más conocidos son inmunes a este tipo de ataques. Hace unos años, un ciudadano de a pie colgó un corto en YouTube en el que mostraba cómo una conocida aplicación para comunicaciones corporativas cifradas, GoldLock, podía ser superada por una app espía comercial barata llamada FlexiSpy. Instaló FlexySpy en el teléfono móvil que ya tenía instalado GoldLock. Empezó a hacer llamadas cifradas a otro teléfono móvil con GoldLock. Toda la conversación fue grabada por FlexySpy en texto plano. FlexySpy toma el audio directamente del microfono antes de que GoldLock pase a encriptar la voz. Tan pronto como la conversación terminaba, FlexiSpy la enviaba automáticamente a un servidor vía WIFI o una conexión de datos. Allí podía ser escuchada a través de la cuenta personal del usuario. Para ser una aplicación de encriptación de primera categoría, esto es simple, eficiente y vergonzoso. Puedes hacer la misma prueba en cualquier momento.
Por alguna razón, el vídeo ha sido eliminado de YouTube. Por lo tanto, no podemos publicar un enlace al mismo. Desde entonces, tampoco hay más aplicaciones de prueba gratuitas de GoldLock. Para evitar situaciones similares. Pero eso no hace a GoldLock menos efectivo para usuarios privados. Es de lejos una de las aplicaciones de comunicacion mas seguras.
Y si, lo mismo puede pasar con tu movil “seguro”.

Cifrar las llamadas de voz es una solución a corto plazo para garantizar la seguridad de las comunicaciones. En el campo de batalla de la inteligencia, la previsibilidad es una de las peores decisiones. Y utilizar un criptoteléfono significa ser más que previsible.
Cuando se utiliza una solución de cifrado de voz (software o hardware), nunca se estará seguro de cuándo se está interceptando realmente el teléfono móvil y, en consecuencia, nunca se estará seguro de cuándo se está realmente en peligro. En lugar de confiar ciegamente en la protección criptotelefónica, es mejor saber cuándo alguien está intentando escuchar tus llamadas y cuándo alguien está intentando rastrear tu ubicación. Entonces podrás actuar con reflexión, tomar las decisiones correctas e incluso influir en ellas mediante diversas técnicas de engaño. Y ahí es donde entran en juego los XCell Stealth Phones, que le ofrecen lo mejor de ambos mundos: Detección de escuchas y protección contra escuchas. La detección de escuchas en tiempo real y en el momento adecuado es muy diferente de la encriptación a ciegas. Una ventaja utilizada por profesionales contra profesionales.

¡Sigamos en contacto!

Estaremos encantados de informarle sobre las contribuciones y ofertas actuales.

Más artículos

blank

Antiespía Pegasus​

Un vendedor ha creado un sitio web falso que dice ser de Amnistía Internacional, ofreciendo a los usuarios un software para protegerlos del malware Pegasus del NSO Group. En realidad, se trata de un troyano de acceso remoto (RAT).

A Smartphone running malicious code

Advertencia del FBI: Fallo del software VPN

¿Recuerdas nuestras advertencias sobre el uso de VPN y las vulnerabilidades de seguridad que tienen todas las VPN? Ahora esto: El FBI advierte: Esta vulnerabilidad de día cero en el software VPN fue explotada por hackers APT.

How confidential are your calls

¿Hasta qué punto son confidenciales sus llamadas?

Este caso, descubierto por el investigador indio de ciberseguridad Anand Prakash, no era más que un error de programación y se denomina eufemísticamente IDOR, acrónimo de Insecure Direct Object Reference (Referencia Directa Insegura a Objetos).