A finales de 2024, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), el FBI, la Agencia de Seguridad Nacional y agencias asociadas de Nueva Zelanda, Australia y Canadá publicaron un comunicado conjunto en el que advertían de que Salt Typhoon, un grupo APT chino, tenía como objetivo a los principales proveedores de telecomunicaciones mundiales. Se cree que hasta 80 empresas de telecomunicaciones y proveedores de servicios de Internet, entre ellos AT&T, Verizon y T-Mobile, han sido infiltrados en el pirateo.
Según altos funcionarios del FBI que hablaron de forma anónima con Politico, un "pequeño número de personas vinculadas a la política o al gobierno, todas las cuales han sido notificadas por funcionarios- vieron comprometidas sus comunicaciones privadas", incluidos los teléfonos de Donald Trump y JD Vance antes de las elecciones. En consecuencia, el presidente del Comité de Inteligencia del Senado, Mark Warner (D-Va.), ha descrito este grave incidente como la "brecha más seria de nuestra historia".
Riesgos de ciberseguridad en el sector de las telecomunicaciones
Las redes de telecomunicaciones son objetivos prioritarios y de gran impacto para los ciberataques. Según el Informe de Defensa Digital de Microsoft, los ciberataques contra infraestructuras críticas de telecomunicaciones han aumentado un 40% en dos años. Tras los ataques de Salt Typhoon, un alto cargo de la Administración de la Casa Blanca señaló que el sector de las telecomunicaciones está "en la diana de los programas de los Estados-nación", con riesgos que van desde la vigilancia y el espionaje hasta la posibilidad de crear trastornos también en momentos de crisis o conflicto.
Los objetivos y tácticas de los ataques a las telecomunicaciones varían, pero el impacto es potencialmente catastrófico independientemente del motivo.
Surveillence
Los ataques de Salt Typhoon son un ejemplo alarmante de ataques patrocinados por el Estado con el fin de recopilar datos de inteligencia; su campaña duró más de dos años y los responsables de seguridad creen que los actores de la amenaza siguen manteniendo acceso a estos sistemas comprometidos. La amenaza a los proveedores de telecomunicaciones tiene el peso de una amenaza a la seguridad nacional, con riesgos para la propiedad intelectual, los acuerdos comerciales, etc.
"Las comunicaciones de los funcionarios del gobierno estadounidense circulan por estos sistemas del sector privado, razón por la cual los chinos pudieron acceder a las comunicaciones de algunos altos funcionarios del gobierno y políticos estadounidenses. Hasta que las empresas estadounidenses subsanen las deficiencias de ciberseguridad, es probable que los chinos mantengan su acceso." - Anne Neuberger, Viceconsejera de Seguridad Nacional para Tecnología Cibernética y Emergente
Interrupción de las infraestructuras
Los ataques de agentes estatales no se limitan al reconocimiento y el espionaje. Los malos actores podrían controlar elementos físicos que pueden afectar a infraestructuras críticas y manipular los resultados. Un ataque DDoS contra operadores de telecomunicaciones norteamericanos provocó interrupciones de la telefonía móvil en casi una docena de ciudades, entre ellas Chicago, Los Ángeles, Nueva York y Houston. Un apagón prolongado de las comunicaciones en las grandes ciudades plantea riesgos catastróficos para la seguridad pública y los servicios críticos: los sistemas de respuesta a emergencias podrían fallar, los dispositivos médicos que salvan vidas podrían perder la conectividad y las infraestructuras urbanas esenciales dependientes de las redes 5G podrían paralizarse.
En 2023, unos piratas informáticos rusos lograron infiltrarse en el operador de telecomunicaciones ucraniano Kyivstar y dejaron sin servicio a más de 48 horas. Según Reuters, más de 24 millones de clientes se quedaron sin servicios de telefonía móvil durante varios días, y la pérdida de servicio también dejó fuera de servicio otros servicios críticos, como las sirenas antiaéreas, algunos servicios bancarios, cajeros automáticos y terminales de puntos de venta. Los atacantes también habrían tenido acceso a los servicios de localización, lo que les habría permitido rastrear la ubicación de los dispositivos.
Datos
Los datos son moneda de cambio, y los proveedores de telecomunicaciones se han convertido en custodios de la huella digital de la humanidad. Las empresas de telecomunicaciones envían y almacenan datos de miles de millones de personas y millones de organizaciones de todo el mundo, y la filtración de datos es una apuesta segura para los ciberdelincuentes. Sin embargo, los datos obtenidos en algunos ataques a empresas de telecomunicaciones van más allá de la mera venta de información en la web oscura, como demuestra la filtración de datos de Mint Mobile en 2023.
Los datos expuestos de este ataque en particular contenían números SIM e IMEI (International Mobile Equipment Identity), lo que permitiría a un actor de amenazas llevar a cabo ataques de intercambio de SIM, que es cuando un atacante transfiere el número de una persona a su propio dispositivo. Una vez que tienen acceso al número, pueden intentar infiltrarse en cuentas de usuario con restablecimiento de contraseñas y acceso a los códigos de texto OTP de autenticación multifactor. BleepingComputer señala que "los actores de amenazas suelen utilizar esta técnica para violar las cuentas de las bolsas de criptomonedas, robando todos los activos almacenados en la cartera en línea."
Aunque el panorama de las amenazas es desalentador, los proveedores de telecomunicaciones están contraatacando con enfoques innovadores en materia de seguridad. La experiencia de NOS, uno de los principales proveedores de telecomunicaciones portugueses, demuestra cómo las soluciones de seguridad modernas pueden proteger eficazmente infraestructuras críticas a gran escala.
NOS y Censys: Un ejemplo real de seguridad de la infraestructura de telecomunicaciones
NOS es un proveedor portugués líder en telecomunicaciones y tecnología que gestiona aproximadamente 2 millones de direcciones IP registradas, muchas de ellas conectadas a infraestructuras críticas. Acudieron a Censys con la necesidad de mejorar su postura de seguridad y proteger su marca.
El entorno de NOS incluye servicios en la nube, sistemas IoT e infraestructuras 5G emergentes, por lo que resulta vital identificar las exposiciones desconocidas y priorizar las vulnerabilidades de alto riesgo. Las herramientas de seguridad existentes generaban alertas abrumadoras y falsos positivos que dejaban riesgos críticos sin abordar; necesitaban una solución centralizada para eliminar el ruido y orientar los esfuerzos de corrección en tiempo real.
Censys permitió a NOS agregar y analizar activos internos, en la nube y orientados al cliente, mejorando significativamente la detección de amenazas, la respuesta y la postura general de riesgo cibernético. Al obtener una visibilidad completa de todos los activos orientados a Internet y la capacidad de investigar la infraestructura de los actores de amenazas para minimizar la exposición, pueden mitigar los riesgos en todo su ecosistema y protegerse frente a las amenazas emergentes.
"Con Censys, evaluamos los riesgos dentro de nuestro dominio y más allá, asegurando nuestras asociaciones y entornos de nube pública. " Diogo Gonçalves, jefe de equipo de ciberdefensa, NOS
Consulte la historia completa de NOS aquí para obtener más detalles sobre cómo Censys está ayudando a resolver los retos de seguridad en la industria de las telecomunicaciones.
