¿Se puede localizar a una persona por una llamada? Si su operador es O2, sí — y es más fácil de lo que crees

En la red móvil del operador británico O2 se ha descubierto una grave vulnerabilidad que permitía determinar con precisión la ubicación de los abonados. El problema afectaba a la implementación de la tecnología Voice over LTE (VoLTE), un sistema de transmisión de voz por redes de cuarta generación que reemplaza a la conmutación de circuitos de las redes 2G y 3G. A diferencia de los estándares anteriores, VoLTE convierte la voz en paquetes digitales y los transmite mediante el protocolo IP, lo que mejora la calidad del sonido y la eficiencia del uso del espectro radioeléctrico.

El experto en ciberseguridad Daniel Williams tropezó accidentalmente con el problema durante una revisión rutinaria de la calidad de audio y los códecs de voz compatibles. Para su investigación, utilizó un smartphone Google Pixel 8 con acceso root y la aplicación Network Signal Guru (NSG). El acceso root permitió a la aplicación interactuar directamente con el módem del dispositivo y rastrear el tráfico de red de bajo nivel, normalmente oculto para el usuario.

Durante el análisis, descubrió que al establecer una conexión, el operador enviaba respuestas excesivamente detalladas a través del protocolo SIP (Session Initiation Protocol). Este protocolo define las reglas para iniciar, modificar y finalizar sesiones multimedia en redes IP. En cada llamada, los dispositivos intercambian mensajes SIP con parámetros como códecs admitidos, calidad del servicio, direcciones de red y otras características técnicas.

Al examinar el tráfico, Williams descubrió que las respuestas de los servidores de O2 incluían no solo la información estándar, sino también datos confidenciales en cinco encabezados adicionales. Entre ellos estaban los identificadores internacionales de abonado móvil (IMSI) —números únicos de hasta 15 dígitos almacenados en las tarjetas SIM y utilizados para la autenticación—. También se transmitían los códigos IMEI, los números de serie de 15 dígitos de los dispositivos móviles que permiten identificar el fabricante, modelo y país de origen del teléfono.

El encabezado más peligroso era el quinto, que contenía información sobre la red celular. Incluía el Mobile Network Code (identificador del operador), el Location Area Code (código del área geográfica) y el Cell ID (número único de la estación base). La combinación de estos parámetros permitía identificar con precisión a qué celda estaba conectado el usuario. Y como la ubicación de las estaciones base puede consultarse a través de servicios públicos como CellMapper, un atacante podía averiguar la localización física del objetivo.

En zonas urbanas, este método ofrecía una precisión geográfica extremadamente alta. Las ciudades modernas emplean una arquitectura celular multinivel, donde además de las macro celdas tradicionales operan pequeñas celdas (small cells). Estas estaciones compactas suelen instalarse en farolas o fachadas de edificios para aumentar la capacidad de red en zonas de alta densidad. El área de cobertura de cada celda pequeña puede ser de solo 100 metros cuadrados, lo que convierte al identificador de la celda en un indicador muy preciso de la ubicación.

La vulnerabilidad afectaba incluso a los usuarios de O2 en roaming. Cuando un abonado se conecta a una red extranjera, su tarjeta SIM sigue autenticándose a través de su operador de origen, y todas las llamadas se enrutan por la infraestructura de O2. Como resultado, el servidor SIP vulnerable seguía revelando la información de geolocalización.

Para ejecutar el ataque, al atacante le bastaba con realizar una llamada al objetivo: la red respondía automáticamente con toda la información detallada. No se necesitaba equipo especializado ni conocimientos técnicos avanzados. Cualquier dispositivo compatible con VoLTE podía capturar esos datos, lo que hacía que la vulnerabilidad fuera especialmente peligrosa.

Alarmado por la magnitud del problema, Williams intentó contactar a O2 el 26 y 27 de marzo, pero la empresa no respondió. Finalmente, el 17 de mayo publicó un informe detallado sobre la vulnerabilidad. Solo dos días después, O2 se puso en contacto e informó que el fallo había sido corregido. Desde entonces, no se ha logrado reproducir el ataque.