SEGURIDAD EN REDES GSM GSM SECURITY Sándor Otero Rodríguez1 Maykel Molina Sotolongo2 1 Etecsa, Cuba, [email protected] 2 Etecsa, Cuba, [email protected] RESUMEN: Los servicios móviles han experimentado de manera violenta un incremento de su demanda, traducido en un aumento del número de usuarios móviles, siendo las redes GSM las más densas y por tanto las más expuestas a intentos de vulnerar su seguridad. A pesar de las funciones de seguridad que intentan salvaguardar la integridad de la información de los suscriptores y los algoritmos de cifrado y encriptación de los datos implementados en estas redes, son conocidas fallas de seguridad en GSM. Existen en la actualidad soluciones que disminuyen la probabilidad de que estas redes sean transgredidas intencionalmente conservando así la información que es manejada. La protección ante ciertas vulnerabilidades tiene un impacto económico y van desde la mejora de la seguridad de la infraestructura hasta proporcionar la seguridad extremo a extremo. GSM se considera el estándar inalámbrico público más seguro del mundo. Palabras Clave: Seguridad, algoritmos, encriptación. ABSTRACT: Mobile services have experienced an increase in violent demand, resulted in an increase in the number of mobile users. GSM networks are denser and therefore more exposed to attempts to undermine its security. Despite the security features that are intended to safeguard the integrity of the subscriber information and the encryption algorithms and data encryption implemented in these networks, there are security flaws in GSM. There are now solutions that reduce the likelihood that these networks are intentionally transgressed thus preserving the information that is handled. Protection against certain vulnerabilities has an economic impact, ranging from improving the infrastructure's security to provide end-to-end security. GSM is considered the most secure public wireless standard in the world. KeyWords: Security, algorithms, encryption. 1. INTRODUCCIÓN El Sistema Global para Comunicaciones Móviles (GSM), es el sistema de telefonía móvil más popular del mundo, que representa el 72,4% de los teléfonos móviles del mundo. De acuerdo con un comunicado de prensa de la Asociación GSM en 2010, existían más de cinco mil millones de teléfonos móviles GSM en uso en más de 168 países. El éxito en las telecomunicaciones móviles se debe en gran medida a GSM. Una de sus fortalezas es su capacidad de roaming internacional, ofreciendo a los consumidores un servicio sin fisuras en más de 168 países [1]. En 1982, la Conferencia Europea de Administraciones de Correos y Telecomunicaciones (CEPT) formó un grupo llamado Grupo Spéciale Mobile (GSM) para desarrollar un sistema celular paneuropeo que reemplazaría los en Europa. En 1987, un hito fue alcanzado con la firma del Memorando GSM de Entendimiento (MoU) por operadores GSM, acordando implementar redes celulares, con base en las especificaciones GSM. Si bien estaba claro desde el principio que GSM sería un sistema digital, se anunció oficialmente en 1987. El servicio GSM se inició en 1991. En el mismo año, “VII Simposio de Telecomunicaciones” Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM” GSM fue rebautizado con el nombre Sistema Global para Comunicaciones Móviles. Aunque GSM se desarrolló inicialmente como un estándar de comunicación digital europea para permitir a los usuarios utilizar sus dispositivos móviles sin problemas en toda Europa, rápidamente se convirtió en un estándar con un crecimiento sin precedentes a nivel mundial. Las claves fundamentales de GSM son: • Roaming internacional- un único número de móvil en todo el mundo. • Alta calidad de voz- mejor que los sistemas analógicos celulares anteriores. • Alto nivel de seguridad- la información de usuario a salvo y segura. • Terminales móviles universales y baratos. • Conveniencia digital- tiempo de habla es el doble por vida de la batería y en redes digitales la posibilidad de manejar mayores volúmenes de llamadas al mismo tiempo que en los sistemas analógicos. • Nuevos servicios- llamada en espera, desvío de llamadas, SMS, GPRS. • Compatibilidad digital- facilidad de interfaces con las redes digitales actuales, ejemplo IDSN. 2. ARQUITECTURA GSM 2.1.1 Estación Móvil Cada teléfono móvil GSM tiene un módulo de identidad de abonado (SIM). La SIM proporciona al móvil una identidad única a través del uso de la Identidad de Abonado Móvil Internacional (IMSI). La SIM es como una llave, sin la que el teléfono móvil no puede funcionar. En la SIM es posible almacenar números de teléfonos personales y mensajes cortos [2]. También se almacena información relacionada con la seguridad, tales como el algoritmo de autenticación A3, el algoritmo de generación de claves de cifrado A8, la clave de autenticación (KI) y el IMSI. El móvil almacena el algoritmo de cifrado A5. La SIM es extraíble, lo que permite a los usuarios viajar al extranjero llevando consigo sólo su tarjeta SIM. Se tendría que informar al proveedor local los países que estarían visitando, antes de su partida. En su destino, pueden simplemente conectar la tarjeta SIM en un teléfono celular y hacer uso del móvil. La SIM puede estar protegida con un Número de Identificación Personal (PIN) elegido por el abonado. El PIN se almacena en la tarjeta y si se introduce incorrectamente tres veces, se bloquea la tarjeta. En este punto, habrá que ponerse en contacto con su proveedor de telefonía móvil que puede desbloquear su teléfono móvil, mediante la introducción de un código de ocho dígitos o Clave de desbloqueo personal (PUK), que también se almacena en la tarjeta. 2.1.2 Subsistema de Estación Base (BSS) El papel del subsistema de estación base (BSS) consiste en conectar al usuario de un teléfono móvil con otro teléfono fijo o usuarios móviles. La estación transceptora base (BTS) es el contacto indirecto entre los teléfonos móviles a través de la interfaz aire y puede ser pensado como un módem de radio complejo. El controlador de estación base (BSC) es responsable del control de las BTS. Supervisa cada llamada y decide cuándo entrega la llamada de una BTS a otra, así como gestiona las frecuencias de radio asignadas para las llamadas a través de la BTS. 2.1.3 Subsistema de Red (NSS) Es un intercambio completo, capaz de encaminar llamadas desde una red fija a través del BSC y BTS a una estación móvil. El Centro de Conmutación de Servicios Móviles (MSC) interconecta la red celular con la red telefónica pública conmutada (PSTN). El MSC sirve también para coordinar el establecimiento de llamadas hacia y desde usuarios de GSM. El Home Location Register (HLR) almacena información de todos los abonados pertenecientes a una zona atendida por un MSC. Se almacenan los datos permanentes, tales como el IMSI, servicios suscritos por el usuario, el número de abonado de una red pública, KI y algunos otros datos temporales. El HLR tiene que proporcionar al MSC toda la información necesaria cuando la llamada proviene de una red pública. El Visitor Location Register (VLR) contiene información relevante de todos los móviles actualmente servidos por un MSC. Los datos permanentes almacenados en el VLR también se almacenan en el HLR. Además, también se almacena la Identidad de Abonado Móvil Temporal (TMSI), que se utiliza en intervalos limitados para evitar la transmisión de la IMSI a través de la interfaz aérea. El VLR tiene que apoyar al MSC durante el establecimiento de llamada y la autenticación cuando la llamada se origina en una estación móvil. El Registro de Identidad de Equipo (EIR) almacena todos los datos de IMEI (Identidad Internacional de Equipo Móvil) de equipos móviles y sus derechos en la red. El EIR mantiene una lista blanca, gris y negra. Los que están en la lista blanca se permiten en la red, mientras que los de la lista negro están bloqueados desde la red. La lista gris se compone de un equipo defectuoso que puede ser un problema en la red, pero todavía están autorizados a participar en la red. El IMEI revela el número de serie de la estación, el fabricante, la homologación de tipo móvil y el país de producción. El centro de autenticación (AUC) es una base de datos de protección que alberga el KI, el algoritmo de autenticación A3, el algoritmo de cifrado A5 y el algoritmo de generación de claves de cifrado A8. Es “VII Simposio de Telecomunicaciones” Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM” responsable de crear los conjuntos de números aleatorios (RAND), respuesta firmada (SRES) y la clave de cifrado (KC), aunque los conjuntos creados se almacenan en el HLR y VLR. 2.2 SEGURIDAD GSM Como todas las comunicaciones celulares se envían a través de la interfaz aérea, es menos segura que una red cableada, ya que abre la puerta a los intrusos con receptores adecuados. Varias funciones de seguridad se construyeron en GSM para salvaguardar la privacidad del suscriptor [3]. Estas Incluyen: • Autenticación solo de los usuarios registrados. • Datos seguros transferidos a través del uso de encriptación. • Protección de la identidad del suscriptor. • Los teléfonos móviles son inoperables sin la SIM. • Las SIM duplicadas no están permitidas en la red. • Almacenamiento seguro de KI. 2.2.1 Autenticación El procedimiento de autenticación comprueba la validez de la tarjeta SIM del abonado y después decide si está permitida la estación móvil en una red particular. La red autentica al abonado mediante el uso de un método de desafío-respuesta. En primer lugar, un número aleatorio de 128 bits (RAND) se transmite a la estación móvil a través de la interfaz aire. El RAND se pasa a la tarjeta SIM, el que se envía a través del algoritmo de autenticación A3 junto con la KI. La salida del algoritmo A3, la respuesta firmada (SRES) se transmite a través de la interfaz aire desde la estación móvil de vuelta a la red. En la red, el AUC compara su valor de SRES con el valor de SRES que ha recibido desde la estación móvil. Si los dos valores de SRES coinciden, la autenticación es exitosa y el abonado se une a la red. El AUC en realidad no almacena una copia de SRES pero consulta el HLR o el VLR para ello, según sea necesario. Fig. 1. Procedimiento de autenticación. 2.2.2 fono por primera vez, su IMSI se transmite al AUC de la red. Después de lo cual, una Identidad de Abonado Móvil Temporal (TMSI) le es asignada. El IMSI se transmite raramente después de este punto a menos que sea necesario. Esto evita que un intruso pueda identificar a un usuario GSM por su IMSI. El usuario continúa utilizando el mismo TMSI, dependiendo de con qué frecuencia se producen actualizaciones de ubicación. Cada vez que se produce una actualización de ubicación, la red asigna un nuevo TMSI al teléfono móvil. La TMSI se almacena junto con el IMSI en la red. La estación móvil utiliza el TMSI para informar a la red o durante el inicio de la llamada. Del mismo modo, la red utiliza el TMSI, para comunicarse con la estación móvil. El Visitor Location Register (VLR) realiza la asignación, la administración y la actualización del TMSI. Cuando está apagado, el móvil almacena el TMSI en la tarjeta SIM para asegurarse de que está disponible al conectarse nuevamente. 2.2.3 GSM hace uso de una clave de cifrado para proteger los datos de usuario y señalización en la interfaz aire. Una vez que el usuario está autenticado, el RAND (suministrado desde la red) junto con el KI (de la SIM) se envía a través del algoritmo de generación de claves de cifrado A8, para producir una clave de cifrado (KC). El algoritmo A8 se almacena en la tarjeta SIM. El KC creado por el algoritmo A8, entonces se utiliza con el algoritmo de cifrado A5 para cifrar o descifrar los datos. El algoritmo A5 se implementa en el hardware del teléfono móvil, ya que tiene que cifrar y descifrar datos sobre la marcha. Fig. 2. Cifrado de datos. 2.3 Algoritmos GSM Una consecuencia del roaming internacional es el intercambio de información entre los proveedores en diferentes países. Todos los países tienen regulaciones estrictas en contra de la exportación de los algoritmos de cifrado y, por tanto GSM funciona en torno a ellas. Cuando un usuario intenta utilizar su teléfono en otro país por ejemplo, las redes locales solicitan al HLR de la red local del abonado la RAND, SRES y KC, que es suficiente para la autenticación y el cifrado de datos. Así, la red local no necesita saber nada acerca de los algoritmos A3 o A8 almacenados en la tarjeta SIM. 2.3.1 Anonimato Cuando un nuevo abonado GSM enciende su telé- Cifrado y descifrado de datos Algoritmo de Autenticación A3 Es dependiente del operador y es una opción del “VII Simposio de Telecomunicaciones” Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM” operador. El algoritmo A3 es una función unidireccional. Esto significa que es fácil de calcular los parámetros de salida SRES utilizando el algoritmo A3 pero muy compleja para recuperar los parámetros de entrada (RAND y KI) del parámetro de salida. Recuerde que la clave para la seguridad de GSM está en mantener KI desconocido. Si bien puede sonar extraño que cada operador puede optar por utilizar A3 independiente, era necesario para cubrir el caso del roaming internacional. 2.3.2 Algoritmo de cifrado A5 Actualmente, existen varias implementaciones de este algoritmo, aunque los más comúnmente utilizados son A5/0, A5/1 y A5/2. La razón de las diferentes implementaciones se debe a restricciones en la exportación de tecnologías de cifrado. A5/1 es la versión más fuerte y se utiliza ampliamente en Europa Occidental y América, mientras que el A5/2 es de uso común en Asia. Los países bajo sanciones de la ONU y algunos países del tercer mundo utilizan el A5/0, que viene sin cifrado. 2.3.3 Algoritmo de Cifrado de Generación de Clave Es dependiente del operador. En la mayoría de los proveedores los algoritmos A3 y A8 se combinan en una sola función hash conocida como COMP128. El COMP128 crea KC y SRES, en una sola instancia. 2.4 RETOS DE SEGURIDAD EN GSM La apertura de las comunicaciones inalámbricas hace que las partes que se comunican sean más vulnerables a las amenazas de seguridad. Aunque GSM trató de complicar la intercepción mediante el uso de varias técnicas tales como el salto de frecuencia, la intercepción en tiempo real de la información intercambiada es completamente posible [4]. Actualmente, hay equipos comerciales capaces de interceptar simultáneamente varios abonados. GSM fue pensado para ser un sistema inalámbrico seguro para la autenticación de usuarios y el cifrado sobre-el-aire. Sin embargo es completamente vulnerable a varios ataques. A continuación, se enumeran brevemente los fallos de seguridad más importantes de GSM. 2.4.1 Autenticación unilateral y la vulnerabilidad al ataque man-in-themiddle La red autentica a los usuarios. El usuario no autentica la red por lo que el atacante puede utilizar una BTS falsa con el mismo código de red móvil y hacerse pasar por el usuario y realizar un ataque manin-the-middle. El atacante puede implementar varios escenarios para modificar o fabricar los datos intercambiados. En la fase de diseño de los protocolos GSM, este tipo de ataque parecía poco práctico debido a los costosos equipos necesarios. En la actualidad, este tipo de ataque es completamente aplicable debido a los costos disminuidos. 2.4.2 Los defectos en la implementación de los algoritmos A3 / A8 Aunque la arquitectura GSM permite al operador elegir cualquier algoritmo para A3 y A8, muchos operadores utilizan COMP128 (o COMP128-1) que se desarrolló en secreto por la asociación GSM. La estructura de COMP128 finalmente fue descubierta por ingeniería inversa y algunas documentaciones reveladas, esto hizo que muchos fallos de seguridad fueran posteriormente descubiertos. Además del hecho de que COMP128 hace posible en revelado de Ki, especialmente cuando son introducidos algunos desafíos, establece deliberadamente diez bits de la derecha de Kc igual a cero lo que hace que los algoritmos criptográficos desplegados sean 1.024 veces más débiles y más vulnerables, debido a la disminución del espacio de clave. Algunos operadores de red GSM intentaron otro nuevo algoritmo para el A3 / A8, llamado COMP128-2. COMP128-2 también fue diseñado en secreto y heredó el problema de la disminución del espacio de claves. A pesar de tal problema, no hay otros problemas reportados hasta ahora. Sin embargo, esperamos nuevas vulnerabilidades descubiertas en el futuro ya que está diseñado en secreto. También se propone una versión mejorada de COMP128-2, llamado COM128-3, que genera 64 bits de clave de sesión y se resuelve el problema de la disminución del espacio de claves. 2.4.3 Clonado de la SIM card Otro reto importante es derivar la clave raíz de KI de SIM del abonado. En abril de 1998, la SDA y el grupo de investigación ISAAC pudieron encontrar una vulnerabilidad importante en el algoritmo COMP128 que les ayudó a extraer Ki en ocho horas mediante el envío de muchos retos a la SIM. Posteriormente, se propusieron algunos otros regímenes que se basan en los desafíos escogidos y fueron capaces de extraer KI en un menor número de veces. En última instancia, un ataque de canal lateral, llamado ataque de partición fue propuesto por los investigadores de IBM que fueron capaces de extraer KI si podía acceder a la SIM del abonado sólo por un minuto [5]. El atacante puede clonar la tarjeta SIM y utilizarla para sus fines fraudulentos. El algoritmo COMP128 necesita grandes tablas de búsqueda para filtrar información importante a través de los canales laterales cuando se implementa en una pequeña SIM. 2.4.4 Cracking Over-the-air Es posible hacer mal uso de la vulnerabilidad de COMP128 para extraer el KI del usuario de destino sin ningún acceso físico a la SIM. Esto se puede lograr mediante el envío de varios retos a través del aire a la SIM y el análisis de las respuestas. Sin “VII Simposio de Telecomunicaciones” Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM” embargo, este enfoque puede llevar varias horas. El atacante también puede extraer el IMSI utilizando un enfoque que se explicará más adelante. Después de encontrar el KI y el IMSI del abonado de destino, el atacante puede clonar la tarjeta SIM y hacer y recibir llamadas y otros servicios como el SMS en nombre del suscriptor víctima. Sin embargo, el atacante se encontrará con un pequeño problema, la red GSM permite sólo una SIM para tener acceso a la red en un momento dado, si el atacante y el suscriptor víctima tratan de acceder desde diferentes ubicaciones, la red se dará cuenta de la existencia de las tarjetas duplicadas y deshabilita la cuenta afectada. 2.4.5 Fallos en los algoritmos criptográficos Tanto el algoritmo A5/1 como A5/2 fueron desarrollados en secreto. La salida del A5/1 es el XOR de tres LFSRs. Un ataque eficiente para A5/1 utilizado por un criptoanalista en tiempo real en una PC puede ser de dos maneras: primero se requiere que con los dos primeros minutos de conversación cifrada espiados sea capaz de extraer la clave de cifrado en aproximadamente un segundo, mientras que el segundo sólo necesita dos segundos de conversación cifrada para extraer la clave de cifrado en varios minutos [6]. A5/2 es la variante debilitada de A5/1. Un ataque eficiente para A5/2 requiere menos de un segundo de conversación cifrada para extraer la clave de cifrado en menos de un segundo en una PC [7]. 2.4.6 Rango corto de protección El cifrado sólo ocurre entre el móvil y la BTS. No hay ninguna protección sobre otras partes de la red y la información se envía claramente sobre las partes fijas. Esta es una gran exposición para GSM, especialmente cuando se realiza la comunicación entre BTS y BSC en los enlaces inalámbricos que tienen vulnerabilidades potenciales para ser intercedidos. En algunos países, el cifrado en la interfaz aire no se habilita. También hay problemas de seguridad en backbone GSM. El despliegue de SS7 tiene también varias vulnerabilidades de seguridad. Los mensajes en SS7 pueden ser modificados o incluso fabricados en el sistema global SS7 de una manera incontrolada. SS7 incorpora procedimientos de autenticación muy limitados ya que fue diseñado originalmente para las comunidades de telecomunicaciones cerradas. La interconexión con Internet también puede tener sus posibles vulnerabilidades. Vulnerabilidades adicionales han surgido luego de que los sistemas SS7 fueran interconectados usando Internet. La administración remota de los elementos troncales GSM que se pueden realizar mediante la conexión a las redes IP también puede introducir vulnerabilidades adicionales. Si el HLR y el AUC se separan físicamente, puede ser un nuevo punto de vulnerabilidad ya que los tripletes de au- tenticación se pueden obtener de AUC haciéndose pasar por otra entidad del sistema, por ejemplo, un HLR. Accesos no autorizados a HLR, AUC, y el MSC también puede causar problemas [8]. 2.4.7 Falta de visibilidad del usuario El cifrado se controla por la BTS. El usuario no recibe una alerta cuando el modo de cifrado está desactivado. Un falso BTS también puede desactivar el modo de cifrado y forzar a la MS para enviar datos de forma no cifrada. 2.4.8 Fugas en el anonimato del usuario Cuando un abonado entra en un área de ubicación por primera vez o cuando la tabla de asignación entre TMSI del abonado y la IMSI se pierde, la red pide al abonado declarar claramente la IMSI. Esto puede hacer peligrar el anonimato del usuario y se puede lograr mediante el envío de un comando de solicitud identidad de una falsa BTS a la MS del usuario de destino para encontrar el IMSI correspondiente. 2.4.9 La vulnerabilidad a los ataques DoS Un solo atacante es capaz de desactivar toda una célula GSM a través de una (DoS) ataque de denegación de servicio. El atacante puede enviar el mensaje PETICIÓN DE CANAL al BSC varias veces, pero él / ella no completan el protocolo y pide otro canal de señalización. Dado que el número de canales de señalización está limitado, esto conduce a un ataque DoS. Es factible ya que el protocolo de establecimiento de llamada realiza las asignaciones de recursos sin una adecuada autenticación. Este ataque es económico ya que no tiene ningún cargo para el atacante. También se puede utilizar para muchas situaciones prácticas, tales como ataques terroristas [9]. 2.4.10 La ausencia de protección de la integridad Aunque la arquitectura de seguridad GSM considera autenticación y confidencialidad, no existe ninguna disposición para cualquier protección de la integridad de la información. Por lo tanto, el destinatario no puede verificar que un determinado mensaje no se ha alterado. 2.4.11 La vulnerabilidad a los ataques de repetición El atacante puede abusar de los mensajes intercambiados previamente entre el abonado y la red con el fin de realizar los ataques de repetición. 2.4.12 Aumento de la redundancia debido a la preferencia de codificación El Forward Error Corrección (FEC) se lleva a cabo antes del cifrado así que hay una redundancia que aumenta las vulnerabilidades de seguridad de los “VII Simposio de Telecomunicaciones” Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM” algoritmos criptográficos desplegados. ponibles a precios muy bajos. 2.5 SOLUCIONES A FALLAS DE SEGURIDAD EN GSM 2.5.2 Las especificaciones GSM han sido revolucionadas durante tiempo. En 2002, varios esfuerzos fueron hechos para diseñar nuevos algoritmos criptográficos para GSM, ECSD, GPRS y EGPRS que han sido implementados en teléfonos de modo dual. En última instancia, A5/3 para GSM y ECSD/EDGE, GEA3 para GPRS, y f8 para UMTS han sido las propuestas, teniendo todos una estructura similar. Los mecanismos de seguridad de GPRS son similares a GSM. Sin embargo, en lugar de utilizar el algoritmo A5, GPRS utiliza el algoritmo de cifrado GPRS (GEA) que en la actualidad cuenta con tres versiones: GEA1, GEA2 y GEA3. En GPRS, el cifrado del terminal lejano se mueve hacia un punto más profundo en la red, es decir, el SGSN. Aunque el cifrado se realiza en la capa física de GSM, este se lleva a cabo en la capa de Control de Enlace Lógico (LLL) de GPRS. El UMTS, además de sus nuevas aplicaciones que ofrece, ha analizado los problemas de seguridad GSM y ha resuelto la mayoría de ellos. La razón principal de los problemas de seguridad GSM es debido al hecho de que su seguridad fue proporcionada por la oscuridad de sus algoritmos. Los algoritmos de UMTS fueron diseñados abiertamente. En consecuencia, sus algoritmos no presentan problemas graves. Aunque se proponen algunos ataques teóricos, no son viables en la práctica con la tecnología actual. Sin embargo, también hay algunos otros problemas relacionados con los protocolos desplegados. Independientemente de mejoras de la seguridad en las redes superiores, es necesario proporcionar soluciones para mejorar la seguridad de los sistemas 2G actualmente disponibles. A continuación, se proponen algunas soluciones prácticas para este fin. Los operadores pueden utilizar nuevos y más seguros algoritmos, como A5/3, siempre que dichas mejoras sean permitidas por el consorcio GSM. Los algoritmos criptográficos desplegados deben aplicarse en la BTS y el móvil. Cualquier cambio en los algoritmos criptográficos requiere el acuerdo y la cooperación de los fabricantes de software y hardware, ya que deben realizar los cambios apropiados para sus productos. Dado que los algoritmos criptográficos deben aplicarse en los teléfonos celulares, también se requiere el acuerdo de los fabricantes de teléfonos móviles. Sin embargo, una modernización de los algoritmos criptográficos desplegados no es tan útil. A pesar de que los algoritmos de cifrado se reemplazan con los más fuertes, el atacante puede simplemente hacerse pasar por la red real y forzar al MS para desactivar el modo de cifrado por lo que también es necesario modificar los protocolos de autenticación. 2.5.1 Usando implementaciones seguras para algoritmos A3/A8 Esto puede frustrar el peligro de ataque de clonado de la SIM. Esta solución es rentable ya que los operadores de red pueden realizar tales mejoras sin necesidad de acudir a los fabricantes de software y hardware. Sin embargo, esta solución requiere el suministro y la distribución de nuevas tarjetas SIM y la modificación del software del HLR. Actualmente, tanto COMP128-2 como COMP128-3 impiden la clonación de tarjetas SIM y el robo over-the-air de Ki. COMP128-3 aumenta la longitud efectiva de la clave haciendo uso de los 10 bits, permitiendo al algoritmo criptográfico desplegar su seguridad nominal. Aunque es pronto para juzgar sobre la seguridad real de COMP128-2 y COMP128-3, tienen evidentes ventajas sobre el tradicional COMP128-1 donde los aparatos de clonación de SIM están dis- 2.5.3 Usando algoritmos seguros de cifrados Asegurar el tráfico de red troncal Cifrar el tráfico de red troncal entre los componentes de la red puede impedir que un atacante pueda espiar o modificar los datos transmitidos. Aunque esta solución se puede implementar sin las bendiciones del consorcio GSM, todavía se requiere la cooperación de los fabricantes de hardware. 2.5.4 Seguridad extremo a extremo La mejor, más fácil y más rentable solución es implementar la seguridad de extremo a extremo en la capa de aplicación. La mayoría de las vulnerabilidades de seguridad GSM (excepto clonación SIM y ataques DoS) no se orientan a la gente común, sus objetivos son generalmente restringidos a grupos especiales por lo que es razonable y económico que estos grupos realicen sus comunicaciones seguras basadas en la seguridad de extremo a extremo. El establecimiento de encriptación se realiza en las entidades finales, no se requerirá ningún cambio en el hardware GSM. De esta manera, incluso si la conversación es espiada por las organizaciones policiales o jurídicas, no pueden descifrar los datos transmitidos sin tener la clave de cifrado verdadera, siempre que un algoritmo criptográfico lo suficientemente seguro sea desplegado. Por lo tanto, con el fin de evitar las actividades ilegales, debe ser transparente tanto para el operador GSM y proveedores de servicios. También puede ser necesario encontrar soluciones para una interceptación legal. La seguridad extremo a extremo tiene una flexibilidad completa a los algoritmos implementados donde las actualizaciones se pueden lograr fácilmente cuando sea necesario. Generalmente, la seguridad de extremo a extremo se puede proporcionar en los “VII Simposio de Telecomunicaciones” Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM” sistemas celulares siguiendo uno o algunos de los siguientes enfoques: La explotación de las capacidades de procesamiento de teléfonos móviles que utilizan los lenguajes de programación como J2ME (Java 2 Mobile Edition): Con el apoyo de los más recientes teléfonos celulares y asistentes digitales personales (PDA) con la capacidad de procesamiento mejorada. La explotación de las capacidades de procesamiento de la tarjeta SIM utilizando el Kit de herramientas de aplicaciones SIM (SAT) [10]: No es compatible con todas las tarjetas SIM; Se requieren tarjetas SIM especiales; los recursos de procesamiento todavía limitados; y las operaciones pueden tardar mucho tiempo. La explotación de las capacidades de procesamiento de una tarjeta inteligente adicional, por ejemplo, Java Card: No es compatible con los teléfonos habituales; requiere teléfonos celulares de doble ranura costosos. La explotación de las capacidades de procesamiento de un ordenador portátil (laptop) conectado a la ME: adecuado para mecanismos de seguridad con grandes requisitos de procesamiento y de memoria, por ejemplo, comunicaciones de voz en tiempo real de extremo a extremo seguras a través del canal de voz GSM. La explotación de las capacidades de procesamiento de un procesador criptográfico que está incrustado en el ME: Debe ser realizado por el fabricante de móviles; no puede ser cambiado o manipulado por el usuario; y puede ser un objeto de control de exportaciones. Los primeros cuatro enfoques tienen una ventaja inherente debido a su capacidad de ser manipulado simplemente por las entidades finales. Sin embargo, se debe elegir el método más rentable en función de algunos parámetros tales como memoria y recursos de procesamiento requeridos para una aplicación determinada. Por ejemplo, si la voz es cifrada extremo a extremo sobre el canal de datos, puede ser implementado por una aplicación de software que está instalada en un teléfono celular avanzado. Por otro lado, para el cifrado sobre el canal de voz que es difícil de ser rastreado y tan atractiva para las actividades terroristas e ilegales, el cuarto enfoque puede ser adecuado [11]. La seguridad de extremo a extremo puede ser establecida tanto para el cifrado simétrico como asimétrico. El cifrado asimétrico es usualmente demasiado lento para ser utilizado en aplicaciones en tiempo real y puede ser utilizado para el establecimiento de claves de un algoritmo de cifrado simétrico. Las claves públicas son generalmente articuladas con los certificados. Las claves privadas y los certificados se pueden almacenar de forma segura en cualquiera de las tarjetas SIM, una tarjeta inteligente adicional (para los teléfonos de dos slots), o un hardware de seguridad en el teléfono. Existen también propuestas para la infraestructura inalámbrica de clave pública (WPKI). 3. CONCLUSIONES En este trabajo, se evalúa la seguridad de la red GSM, y se realiza una revisión de sus problemas de seguridad. Está demostrado que la red GSM tiene muchas fallas de seguridad inherentes que pueden ser mal utilizadas con fines fraudulentos o engañosos para los usuarios. Han sido expuestas algunas soluciones prácticas para mejorar la seguridad de las redes 2G disponibles actualmente. Algunas soluciones incluyen la mejora de la seguridad de la infraestructura, mientras que otras tienden a proporcionar la seguridad extremo a extremo. También se deduce que la seguridad extremo a extremo a nivel de aplicación es la mejor y más rentable solución para los sistemas 2G disponibles actualmente. A pesar de las violaciones de seguridad expuestas, GSM es más seguro que los sistemas celulares analógicos anteriores y sigue siendo el estándar inalámbrico público más seguro del mundo. 4. REFERENCIAS BIBLIOGRÁFICAS [1] [1] «GSM World News - Statistics,» 01 2013. [En línea]. Available: http://www.gsmworld.com/news/statistics/index.shtml. [2] [2] a. W. E. W. Rankl, “Smart Card Handbook,” 3rd ed., John Wiley and Sons, 2003. [3] [3] a. Y.-J. C. C-C Lo, «“Secure Communication Mechanisms for GSM Networks,”,» IEEE Transactions on Consumer Electronics, vol. 45, nº 4, pp. 1074-1080, 1999. [4] [4] J. V.-A. J. P. F. d. V. a. M. F.-I. F.J. GonzalezCastano, «“Real-Time Interception Systems for the GSM Protocol,”,» IEEE Transactions on Vehicular Technology, vol. 51, nº 5, pp. 904-914, 2002. [5] [5] P. R. H. a. S. T. J.R. Rao, «“Partitioning Attacks: Or How to Rapidly Clone Some GSM Cards,”,» IEEE Symposium on Security and Privacy (S&P'02), pp. 31-41, 2002. [6] [6] A. S. a. D. W. A. Biryukov, «“Real Time Cryptanalysis of A5/1 on a PC,”,» Fast Software Encryption Workshop, pp. 1-18, 2010. [7] [7] E. B. a. N. K. E. Barkan, «“Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication,”,» CRYPTO, pp. pp.600-616, 2003. [8] [8] T. M. G. M. J. H. a. S. S. G. Lorenz, «“Securing SS7 Telecommunications Networks,”,» IEEE Workshop on Information Assurance and Security, pp. 273-278, 2011. [9] [9] a. V. C. V. Bocan, «“Mitigating Denial of Service Threats in GSM Networks,”,» de 1st IEEE International Conference on Availability, Reliability and Security, 2006. [10] [10] E. T. S. Institute., «Security mechanisms for the SIM Application,» de Digital cellular Telecommunications system, 2008. [11] [11] K. A.-N. S. V. a. A. K. N.N. Katugampala, «“Real-time End-to-end Secure Voice Communications Over GSM Voice Channel,”,» de 13th European Signal Processing Conference (EUSIPCO'05), Turkey, 2005. [12] [12] A. A. B. Mohsen Toorani, «Solutions to the GSM Security Weaknesses,» de 2nd International Conference on Next Generation Mobile Applications, Services, and Tech- “VII Simposio de Telecomunicaciones” Otero Rodríguez, Sándor; Molina Sotolongo, Maykel. | “Seguridad en Redes GSM” nologies (NGMAST'08), pp.576-581, University of Glamorgan, Cardiff, UK, 2008. [13] P. Chandra, «Bulletproof Wireless Security, GSM, UMTS, 802.11 and Ad hoc Security,» Elsevier, 2010. 5. SÍNTESIS CURRICULARES DE LOS AUTORES Sándor Otero Rodríguez, nací el 18 de septiembre de 1983 en Ciego de Ávila. Inicié mis estudios primarios en 1989. En el año 1996 estando en séptimo grado fui al Segundo Congreso Nacional de los Pioneros. Durante los tres años de secundaria fui jefe de colectivo y participé en concursos provinciales y nacionales. En noveno pasé a formar parte de las filas de la UJC. En 1998 inicié el preuniversitario en el IPVCE Ignacio Agramonte. En el año 2002 matriculo en la Universidad Central Martha Abreu de Las Villas en la Facultad de Eléctrica la carrera de Ingeniería en Telecomunicaciones y Electrónica. Me gradué en el año 2007 con título de oro siendo el graduado más integral de la Facultad de Ingeniería Eléctrica en el año 2007. Comencé mi vida laboral en el 2007 en MoviTel. En 2012 participo en un entrenamiento de tecnología digital móvil en la Universidad de ZTE en China. En 2014 matriculo en la 5ta edición de la Maestría en Telemática en la UCLV. En septiembre de 2014 comienzo a trabajar como Especialista “C” en Telemática en el Departamento de Servicios Móviles, Etecsa Ciego de Ávila. Investigo actualmente sobre seguridad en redes móviles y optimización en redes móviles 3G. Participé como ponente en el CIE 2015. “VII Simposio de Telecomunicaciones”