Compró un amplificador y terminó espiado: un operador surcoreano filtró información de sus clientes durante años
En Corea del Sur descubren que las miniestaciones base domésticas de Korea Telecom estaban tan mal configuradas que durante años pudieron clonarse y permitir la interceptación de SMS de suscriptores.
El Ministerio de Ciencia y TIC de Corea del Sur declaró que el operador Korea Telecom (KT) pudo exponer durante años a sus abonados a riesgos debido a miniestaciones base domésticas mal protegidas. Según los datos del ministerio, vulnerabilidades permitieron a los atacantes clonar los dispositivos, leer SMS, saber a quién llamaban los usuarios y realizar operaciones fraudulentas a través del servicio de micropagos.
Se trata de femtoceldas, estaciones base compactas para el hogar o la oficina. Se instalan allí donde la señal móvil es débil y, en esos casos, la comunicación se realiza a través de la red fija, que actúa como canal de retorno hacia la red del operador. KT había desplegado varios miles de estos dispositivos y, como se descubrió, todos utilizaban el mismo certificado para autenticarse en la red del operador.
El problema no era solo el certificado idéntico. El especialista coreano en seguridad informática Yongdae Kim señaló que las femtoceldas no tenían contraseña root, las claves se almacenaban en texto claro y el acceso remoto estaba prácticamente abierto debido a que SSH estaba activado. Esto significaba que, al obtener acceso a cualquiera de esos aparatos, un atacante podía tomar el certificado y construir un clon que la red de KT aceptaría como dispositivo legítimo.
La situación se agravaba por la vigencia del certificado: tenía una duración de 10 años. Es decir, quienes conocían las debilidades tuvieron tiempo suficiente para desplegar de forma encubierta femtoceldas falsificadas y usarlas para sus fines. En el informe del ministerio se indica que uno de esos clones funcionó alrededor de diez meses durante 2024 y 2025.
Luego intervenía la automatización del lado de los usuarios. Según el informe, los teléfonos de los abonados podían conectarse por sí mismos a la femtocelda falsa como si fuera un punto de la red habitual. Como resultado, los atacantes obtenían la posibilidad de leer los mensajes de texto de las víctimas y ver a qué números llamaban.
El problema salió a la luz después de que KT detectara irregularidades en las facturas de los clientes. El operador cuenta con un servicio de micropagos: el abonado confirma el pago de contenido digital mediante SMS. En septiembre la empresa revisó las facturaciones y descubrió transacciones que utilizaban femtoceldas clonadas por un importe de aproximadamente $169,000. Según el ministerio, 368 clientes fueron víctimas de fraude.
Además, Yongdae Kim llamó la atención sobre un detalle extraño: para una infraestructura tan compleja, el botín parece demasiado modesto. Supuso que los micropagos podrían no haber sido el objetivo principal, sino solo un episodio que evidenció una actividad más seria, por ejemplo la recopilación masiva de datos y la vigilancia encubierta. De forma indirecta apoya esta versión el hecho de que KT solo posee datos de pagos a partir de julio de 2024, por lo que el informe del ministerio admite explícitamente que su visión es incompleta y no pretende ofrecer una respuesta definitiva sobre cuánto tiempo continuaron los abusos.
Más detalles los dio la policía. Según sus datos, en el caso figura al menos una femtocelda falsa que utilizó la clave instalada en un dispositivo que en 2019 se empleó en una base militar y luego desapareció en 2020. La investigación también encontró varios dispositivos clonados y señales de actividad de un grupo organizado. Se informa de 13 detenidos, y el presunto organizador, según la policía, está bajo investigación internacional, con una notificación roja de Interpol emitida en su contra.
Los investigadores no descartan que parte de la información necesaria para los delincuentes pudiera haber llegado por un ataque anterior a KT: se menciona el malware BPFDoor y una filtración de datos que, según se afirma, se prolongó tres años desde 2022. La policía también sostiene que los miembros del grupo practicaban el war-driving, desplazándose con una femtocelda ilegal y buscando nuevos teléfonos a los que conectarse. Se menciona además un episodio en el aeropuerto de Incheon, donde uno de los detenidos intentó usar una femtocelda falsa el mismo día en que otra persona, según la investigación, intentó sacar el equipo vulnerado hacia China.
En el contexto de la investigación, el gobierno exigió a KT permitir que los clientes rescindan los contratos sin penalizaciones. La historia encaja en un panorama general inquietante sobre la ciberseguridad en el país. En Corea del Sur, en los últimos meses se han debatido grandes filtraciones de datos en empresas locales, casos de violaciones graves de la privacidad mediante la intrusión en cámaras, así como amenazas cibernéticas constantes relacionadas con Corea del Norte.