El protocolo de comunicación RCS podría ser muy peligroso
En los pasados días Google pudo, finalmente, y tras muchos años de litigios, coordinación y desarrollo, pone a funcionar la conectividad RCS en Estados Unidos. El protocolo de comunicación RCS permite, gracias a Google, conectar a todos los smartphones de Android compatibles sin necesidad de Internet. Y quizá sea por eso que RCS traería nuevas vulnerabilidades.
Nuevos informes indican que la forma en que se está aplicando el protocolo de comunicación RCS permitiría a atacantes tener acceso a toda clase de información privada: leer nuestros mensajes SMS, triangular nuestra posición, revelar nuestros historiales de búsqueda y hasta interceptar y escuchar nuestras llamadas.
RCS podría traer un problema de ciberseguridad mundial
RCS, una sigla de Rich Communication Services (Servicios de Comunicación Enriquecida), es, en esencia, un reemplazo de la mensajería SMS posible gracias a la conectividad 2G. Pero se trata de un protocolo diferente en tanto que RCS no impone limitaciones, ni cobra por mensaje, ni requiere de Internet en lo absoluto.
En ese sentido, se parece más a BBM (BlackBerry Messenger) que a un mensaje SMS. Pero en lugar de requerir la intervención de desarrolladores de telecomunicaciones, hardware y software de un solo fabricante, requiere la coordinación de Google, en el caso de Android Messages, con las diferentes compañías prestadoras de servicios de telecomunicaciones de cada país.
Sin embargo, RCS traería nuevas vulnerabilidades críticas para la seguridad de sus usuarios. El laboratorio SRLabs está absolutamente sorprendido de que compañías como Vodafone hayan considerado aceptable la seguridad de RCS siendo que expone a cientos de millones de usuarios en todo el mundo.
Los investigadores Luca Melette y Sina Yazdanmehr, ambos empleados de SRLabs, estarán presentándose en la convención de hackers Black Hat Europe en el mes de diciembre para revelar todo lo que descubrieron en materia de fallas y vulneraciones que inserta el protocolo RCS al mundo de la tecnología móvil.
Estos inconvenientes no reflejan, en rigor, vulnerabilidades en la forma en que funciona RCS, sino la forma en que las diferentes prestadoras de servicios de telecomunicaciones lo han estado implementando. Eso quiere decir que quien sea que esté detrás de la aplicación de estas medidas tendrá serios dolores de cabeza de cara al futuro.
De hecho, este no es un problema generalizado. Los desarrolladores e ingenieros de SRLabs parecen haber hecho pruebas de ciberseguridad con los servicios RCS aplicados por cada prestadora y los problemas son diferentes en cada caso. Todas las compañías se están equivocando y cada una de su propia forma.
Hasta el momento, la distribución y alcance de RCS se circunscribe a Estados Unidos y otras pocas regiones del mundo. Y esperemos que lo que sea que sea necesario corregir para garantizar su ciberseguridad sea aplicado antes de que alcance un estatus global.