Todos los teléfonos móviles podrían ser víctimas de un ataque sencillo pero devastador que permite escuchar nuestras conversaciones telefónicas, recibir nuestros mensajes SMS y descargarse nuestra agenda de contactos. Al menos eso afirma una compañía de seguridad que ha demostrado lo que se podría hacer con dicho troyano, aunque todavía no dispone de pruebas que indiquen que la amenaza sea real.


El ataque ha sido descubierto por un experto alemán de seguridad y podría convertirse en la mayor brecha de seguridad en la privacidad de miles de millones de usuarios de móviles en todo el mundo. La respuesta oficial de los operadores móviles sobre esta amenaza es que es falsa. Pero la compañía SecurStar afirma que se puede reprogramar un teléfono usando un mensaje SMS binario o “de servicio”, parecido a los que los operadores utilizan para actualizar el software de nuestros teléfonos. Los operadores de móviles usan los mensajes SMS para hacer cambios en los móviles de los usuarios sin que estos tengan que intervenir. Estos cambios pueden variar desde pequeños arreglos hasta una reconfiguración total de los sistemas internos de los móviles. Como los teléfonos móviles no verifican si el remitente del SMS es seguro, simplemente con mandar un mensaje fraudulento se podría reprogramar el móvil para que haga lo que se desee.

Aunque un representante de SecurStar ha demostrado lo que se puede conseguir con un troyano de este tipo en varios móviles, habría que verificar que dichos móviles no estaban preparados para que el troyano funcionase. Los operadores de móviles no han querido admitir que exista tal posibilidad, y tampoco se tienen más pruebas de que realmente se esté aprovechando esa brecha de seguridad. Un portavoz de la Asociación GSM admite que “es imposible afirmar, con la información que tenemos, si esta brecha de seguridad es teórica o prácticamente posible. El Grupo de Seguridad de GSMA revisará estas posibilidades, no obstante”.

Por su parte, el operador Orange afirma en un comunicado que “nos tomamos las comunicaciones de nuestros clientes muy seriamente y estamos investigando las afirmaciones de SecurStar respecto a las capacidades de este Cabayo de Troya. Hasta disponer del resultado de esta investigación no podemos comentar la validez de dichas afirmaciones. Podemos confirmar que no tenemos evidencias que sugieran que ninguno de nuestros clientes haya visto comprometida la seguridad de sus comunicaciones de voz o SMS usando el mecanismo que indica SecurStar. Si nuestras investigaciones mostrasen que estas afirmaciones son válidad, tomaremos las medidas necesarias para asegurar la protección de nuestros usuarios.