En una \u00e9poca en la que los recientes ciberataques contra los principales proveedores de telecomunicaciones han puesto de manifiesto la fragilidad de la seguridad m\u00f3vil, investigadores del Instituto Avanzado de Ciencia y Tecnolog\u00eda de Corea (KAIST) han identificado una clase de vulnerabilidades hasta ahora desconocidas que podr\u00edan permitir a atacantes remotos comprometer las redes celulares que dan servicio a miles de millones de usuarios en todo el mundo.<\/p>\n\n\n\n
El equipo de investigaci\u00f3n, dirigido por el profesor Yongdae Kim de la Escuela de Ingenier\u00eda El\u00e9ctrica del KAIST, descubri\u00f3 que atacantes no autorizados pod\u00edan manipular de forma remota la informaci\u00f3n interna de los usuarios en las redes centrales LTE, la infraestructura central que gestiona la autenticaci\u00f3n, la conectividad a Internet y la transmisi\u00f3n de datos para\u00a0dispositivos m\u00f3viles<\/a>\u00a0y equipos IoT. Los hallazgos, presentados en la 32\u00aa Conferencia ACM sobre Seguridad Inform\u00e1tica y de las Comunicaciones (ACM CCS 2025<\/a>) en Taipei, Taiw\u00e1n, le valieron al equipo un premio al art\u00edculo distinguido.<\/p>\n\n\n\n La clase de vulnerabilidad, que los investigadores denominaron “Violaci\u00f3n de la Integridad del Contexto” (VIC), representa una infracci\u00f3n fundamental de un principio b\u00e1sico de seguridad: los mensajes no autenticados no deben alterar los estados internos del sistema. Si bien las investigaciones de seguridad previas se han centrado principalmente en los ataques de “enlace descendente” \u2014donde las redes comprometen los dispositivos\u2014, este estudio examin\u00f3 la seguridad del “enlace ascendente”, menos estudiada, donde los dispositivos pueden atacar las redes centrales.<\/p>\n\n\n\n “El problema radica en las deficiencias de los est\u00e1ndares 3GPP”, explic\u00f3 el profesor Kim, refiri\u00e9ndose al organismo internacional que establece las reglas operativas para las redes m\u00f3viles. “Si bien los est\u00e1ndares proh\u00edben el procesamiento de mensajes que no superan la autenticaci\u00f3n, carecen de una gu\u00eda clara sobre c\u00f3mo gestionar los mensajes que eluden por completo los procedimientos de autenticaci\u00f3n”.<\/p>\n\n\n\n El equipo desarroll\u00f3 CITesting, la primera herramienta sistem\u00e1tica del mundo para detectar estas vulnerabilidades, capaz de examinar entre 2.802 y 4.626\u00a0casos de prueba<\/a>, una gran expansi\u00f3n con respecto a los 31 casos cubiertos por la \u00fanica herramienta de investigaci\u00f3n comparable anterior, LTEFuzz.<\/p>\n\n\n\nUna nueva clase de vulnerabilidad<\/h2>\n\n\n\n
Impacto generalizado confirmado<\/h2>\n\n\n\n