• Tweet

Una gran mayoría de los productos de cifrado de voz tienen serios errores, de acuerdo a ciertas pruebas controversiales realizadas por un hacker anónimo.

Por medio de la utilidad de escucha FlexiSpy, disponible en el mercado, y un troyano "casero", Notrax (el apodo del hacker anónimo) dice haber vulnerado a 11 de 15 tecnologías de cifrado de voz en sus pruebas. Notrax indica que fue capaz de realizar trucos con el malware y circunventar el cifrado de los productos, escuchando conversaciones previamente capturadas en tiempo real.

Al evitar cualquier tono, notificación o bitácora de llamadas, las técnicas demostrada por Notrax podrían potencialmente pasar inadvertidas. La entrega del troyano podría lograrse engañando a la víctima potencial, para que abra un mensaje en su teléfono móvil - o bien, por instalación manual.

GSMK Cryptophones, uno vendedor cuyo producto de seguridad fue cuestionado por las pruebas realizadas, afirma sin embargo que los resultados solo pueden haber sido obtenidos reduciendo artificialmente la seguridad de su software. Las objeciones de GSMK generan más preguntas acerca de la validez de todo el ejercicio:

"El nivel por defecto de "alta seguridad" en todos los GSMK Cryptophones prevendría que el ataque tuviera lugar. La única forma de que este ataque ocurriera, o de que cualquier software de terceras personas fuera instalado en el teléfono, sería reducir el nivel de seguridad en el dispositivo, una tarea que en sí misma demanda que el usuario pase por varios procesos.

La compañía realiza rigurosas pruebas para asegurar que sus clientes estén protegidos contra las últimas tecnologías diseñadas para interceptar productos cifrados, y siempre ha sido transparentes al publicar detalles de sus capacidades de cifrado.

No ha sido posible analizar las aseveraciones directamente, ya que las pruebas se realizaron por una entidad anónima, y el sitio no detalla información de contacto."

Notrax publicó sus conclusiones en infosecurityguard.com, antes de iniciar la publicación (que aún sigue) de los detalles de cada una de sus 15 pruebas, algunas de las cuales ilustró mediante videos subidos a YouTube.

Los únicos productos que salieron ilesos de las pruebas fueron Bluephone-Secure, SnapCell y PhoneCrypt de Rohde & Schwarz. Aún no hay resultados para Tripleton, pero los otros 11 productos evaluados, con costos de cientos de miles de dólares, todos fallaron contra los ataques de FlexiSpy (que cuesta $100 USD) y un simple troyano.

Un resumen de las pruebas de Notrax se puede encontrar aquí. Los productos que Notrax supuestamente vulneró incluyen a CellCrypt y Zfone, de Phil Zimmerman.

De los tres productos que obtuvieron una calificación aprobatoria, solo PhoneCrypt se basa en software.

El hacker-vuelto-reportero Steve Gold nota que el enfoque de Notrax es similar al uso de los llamados "infinity bugs" en teléfonos de línea terrestre. Gold, reportando para Infosecurity Magazine indica que las autoridades, en particular el gobierno alemán, han estado interesados en el uso de troyanos para interceptar comunicaciones de voz, aunque ese intento se enfocó en escuchas ilegales sobre conversaciones VoIP a través de la PC origen.

Los hacks de Notrax, en cambio, también cubren celulares, aunque algunos de los mismos principios aplican. Dan Kaminsky, notable investigador de seguridad y famoso por los análisis de envenenamiento de cache DNS, dijo al Register: "La ejecución de código es la ejecución de código. Esto no debería ser sorprendente."

Wilfried Hafner, alto directivo de SecurStar, desarrollador de PhoneCrypt, comentó: "Como en la mayoría de los ataques de seguridad, Notrax se fue contra el eslabón más débil; no intentó atacar al cifrado en sí, sino simplemente utilizar técnicas de escucha comunes."

PhoneCrypt dijo que el uso de un monitor para detectar si alguna aplicación intenta acceder a un recurso o servicio durante una llamada, antes de terminarla, y proveer una advertencia a los usuarios, ayudó a derrotar el ataque de Notrax.