Citizen Lab destapa abuso de telecos para rastrear teléfonos en campañas globales de vigilancia

Una nueva investigación de Citizen Lab apunta a que proveedores de vigilancia habrían abusado del acceso a operadores de telecomunicaciones para rastrear la ubicación de teléfonos en distintas partes del mundo, aprovechando fallas persistentes en SS7, debilidades en Diameter y técnicas tipo SIMjacker contra objetivos de alto perfil.
***

• Citizen Lab documentó dos campañas de espionaje distintas que explotaron debilidades en redes móviles globales.
• Los investigadores señalan que tres operadores aparecieron repetidamente como puntos de entrada y tránsito para vigilancia.
• Los ataques incluyeron abuso de SS7, explotación de Diameter y mensajes invisibles a la SIM para rastrear ubicación.

📱💼 Abuso en telecomunicaciones

Citizen Lab revela que proveedores de vigilancia rastrean teléfonos globalmente.

Se utilizan vulnerabilidades en SS7 y Diameter para geolocalizar objetivos.

Tres operadores han sido señalados repetidamente como puntos de acceso.

La… pic.twitter.com/P6TkXXxl37

— Diario฿itcoin (@DiarioBitcoin) April 25, 2026

Dos campañas separadas de espionaje habrían explotado debilidades conocidas en la infraestructura global de telecomunicaciones para rastrear la ubicación de teléfonos móviles, de acuerdo con una investigación publicada por Citizen Lab, reseñada por TechCrunch. El hallazgo sugiere que el problema no es aislado, sino parte de una práctica más amplia en la que proveedores de vigilancia buscan acceso a redes celulares para ofrecer capacidades de geolocalización a clientes gubernamentales.

El reporte describe a los actores detrás de estas campañas como empresas “fantasma” que se hacían pasar por operadores celulares legítimos. Desde esa posición, habrían consultado información de localización de sus objetivos utilizando mecanismos internos de señalización entre redes móviles, una capa técnica que normalmente permite enrutar llamadas y mensajes entre países y operadoras.

Para quienes no siguen de cerca la seguridad de telecomunicaciones, el caso toca una de las debilidades más antiguas y sensibles del ecosistema móvil. Las redes celulares aún dependen, en distinta medida, de protocolos heredados que fueron diseñados en otra era, cuando la interoperabilidad importaba más que la autenticación fuerte o el cifrado robusto entre operadores.

Según la investigación, estas dos campañas probablemente representan solo una fracción de un universo mucho mayor de abusos. Gary Miller, uno de los investigadores involucrados, dijo que el equipo se enfocó únicamente en dos operaciones dentro de millones de ataques observados en todo el mundo, lo que eleva la preocupación sobre el alcance real de estas prácticas.

Cómo se explotaron las fallas de la red móvil

Uno de los ejes del informe es el uso de Signaling System 7, o SS7, un conjunto de protocolos para redes 2G y 3G que durante años ha servido como base para conectar redes celulares globales y enrutar llamadas y mensajes de texto. El problema es conocido desde hace tiempo: SS7 no exige autenticación ni cifrado, lo que facilita que actores con acceso a esa capa puedan abusar del sistema para consultar ubicación de abonados.

Gobiernos, investigadores y especialistas en seguridad han advertido durante años que SS7 puede ser explotado con fines de vigilancia. Pese a ello, sigue presente en la infraestructura internacional, en parte por razones de compatibilidad y transición tecnológica. Ese legado convierte a la señalización móvil en una superficie de ataque especialmente delicada, porque opera detrás de escena y lejos de la vista del usuario común.

En teoría, Diameter, el protocolo más moderno asociado a redes 4G y 5G, debía reemplazar a SS7 con protecciones de seguridad más sólidas. Sin embargo, Citizen Lab señala que esa mejora no siempre se traduce en práctica. Algunos operadores no implementan correctamente las salvaguardas nuevas, y en otros casos los atacantes pueden incluso volver a apoyarse en el protocolo más antiguo para obtener resultados similares.

La primera campaña descrita por los investigadores siguió precisamente esa lógica. Según el informe, el proveedor de vigilancia detrás de ella intentaba primero abusar de fallas en SS7 y, si ese camino no funcionaba, cambiaba a la explotación de Diameter. Ese comportamiento sugiere una operación con conocimientos técnicos avanzados y capacidad de adaptarse según la red, el país o el operador objetivo.

Citizen Lab concluyó que el primer proveedor facilitó campañas durante varios años contra distintos objetivos repartidos por el mundo, usando además infraestructura de múltiples proveedores de telefonía celular. Esa diversidad llevó a los investigadores a considerar que varios clientes gubernamentales del proveedor de vigilancia podrían haber estado detrás de las operaciones observadas.

En palabras del propio equipo, la evidencia apunta a una operación deliberada, bien financiada y con una integración profunda dentro del ecosistema de señalización móvil. Miller dijo que algunas pistas señalan a “un proveedor comercial de geointeligencia con base en Israel y capacidades especializadas en telecomunicaciones”, aunque no identificó por nombre a la empresa.

Entre las compañías israelíes conocidas por ofrecer servicios de este tipo figuran Circles, posteriormente adquirida por NSO Group, así como Cognyte y Rayzone. El informe, sin embargo, no atribuye públicamente la campaña a una de ellas de manera definitiva, por lo que la investigación mantiene en reserva el nombre del actor señalado.

Tres operadores aparecieron como puntos de entrada repetidos

Las dos campañas compartieron al menos un elemento relevante. Ambas habrían abusado del acceso a tres proveedores de telecomunicaciones específicos que actuaron de forma repetida como “puntos de entrada y tránsito de vigilancia” dentro del ecosistema de telecomunicaciones, según el reporte. Ese acceso habría permitido a los proveedores de vigilancia y a sus clientes ocultarse detrás de la infraestructura de terceros.

El primero de esos operadores es 019Mobile, con sede en Israel. De acuerdo con los investigadores, la infraestructura asociada a esta empresa fue utilizada en varios intentos de vigilancia. El segundo es Tango Networks U.K., en Reino Unido, que según Citizen Lab habría sido usado para actividad de vigilancia durante varios años.

El tercero es Airtel Jersey, un operador de la isla del Canal de Jersey que ahora es propiedad de Sure. La investigación añade que las redes de Sure ya habían sido vinculadas anteriormente a campañas de vigilancia, lo que vuelve más sensible el señalamiento y pone atención sobre el papel de operadores pequeños o especializados dentro del entramado internacional de señalización.

Alistair Beak, CEO de Sure, dijo que la empresa “no arrienda acceso a señalización directa o conscientemente a organizaciones con el propósito de localizar o rastrear individuos, ni de interceptar el contenido de las comunicaciones”. También afirmó que la compañía ha desplegado medidas para mitigar abusos, incluyendo monitoreo y bloqueo de señalización inapropiada.

Beak añadió que cualquier evidencia o queja válida relacionada con uso indebido de la red de Sure deriva en la suspensión inmediata del servicio. Si una investigación confirma actividad maliciosa o inapropiada, la terminación sería permanente. Tango Networks y 019Mobile no respondieron a solicitudes de comentarios formuladas por la publicación que dio a conocer la noticia.

Sin embargo, Gil Nagar, jefe de TI y seguridad de 019Mobile, sí envió una carta a Citizen Lab. En ella sostuvo que la empresa “no puede confirmar” que la presunta infraestructura de 019Mobile identificada por los investigadores como usada por proveedores de vigilancia pertenezca realmente a la compañía.

La segunda campaña usó mensajes invisibles a la SIM

La otra campaña detectada empleó una técnica diferente. En este caso, el proveedor de vigilancia habría enviado un tipo especial de mensaje SMS a un objetivo específico “de alto perfil”. Los investigadores explicaron que se trata de mensajes de texto diseñados para comunicarse directamente con la tarjeta SIM, sin mostrar señales visibles al usuario en la pantalla del dispositivo.

En condiciones normales, estos mensajes sirven para que los operadores envíen comandos inocuos a las SIM de sus abonados. Ese canal puede utilizarse, por ejemplo, para mantener un dispositivo conectado correctamente a la red. Según el informe, en esta campaña el mecanismo fue desviado para enviar órdenes que convertían de facto el teléfono del objetivo en una herramienta de rastreo de ubicación.

Este tipo de ataque fue bautizado como SIMjacker por la firma de ciberseguridad móvil Enea en 2019. La técnica llamó la atención en su momento porque demostraba que una simple interacción invisible con la SIM podía abrir funciones sensibles sin que el usuario necesitara tocar nada ni sospechara que su dispositivo estaba siendo manipulado.

Miller dijo que ha observado miles de ataques de este tipo a lo largo de los años, por lo que lo considera un exploit bastante común y difícil de detectar. También señaló que estos ataques parecen estar dirigidos geográficamente, lo que sugiere que los actores detrás de las campañas saben qué países y qué redes son más vulnerables a este tipo de abuso.

Ese detalle importa porque muestra que no todas las redes están igual de expuestas. La seguridad efectiva depende no solo del estándar técnico utilizado, sino de cómo cada operador configura sus sistemas, filtra mensajes y monitoriza comportamientos anómalos. En otras palabras, el riesgo real se mueve al ritmo del eslabón más débil dentro de una red global interconectada.

Un problema estructural que sigue sin resolverse

Más allá de las empresas mencionadas, el informe reabre una discusión de fondo sobre la fragilidad estructural de las telecomunicaciones globales. A diferencia de muchas amenazas digitales visibles para el usuario, estos abusos ocurren en capas de infraestructura profundas, donde la confianza entre operadores internacionales ha sido durante décadas un supuesto básico de funcionamiento.

Eso explica por qué la explotación de señalización móvil resulta tan difícil de detectar para el público y, a veces, incluso para las propias compañías. Los atacantes no necesitan instalar malware tradicional en el teléfono. En muchos casos basta con obtener acceso a la red adecuada y emitir consultas o comandos desde sistemas que parecen legítimos dentro del ecosistema de roaming y señalización.

La relevancia del caso va más allá del sector móvil. En un momento en que la identidad digital, la autenticación financiera y la seguridad de cuentas todavía dependen en parte del número telefónico, cualquier debilidad en la red celular puede tener implicaciones amplias para privacidad, banca, mensajería y verificación de acceso.

La investigación de Citizen Lab, divulgada por TechCrunch, refuerza la idea de que la modernización hacia 4G y 5G no ha eliminado por completo los riesgos heredados. Mientras subsistan implementaciones débiles, accesos opacos o controles insuficientes entre operadores, la red global seguirá ofreciendo espacios para la vigilancia encubierta.

Por ahora, los investigadores sostienen que las dos campañas analizadas son apenas la punta del iceberg. Esa conclusión deja una advertencia clara para reguladores, operadoras y defensores de la privacidad: el problema no parece ser una anomalía puntual, sino un mercado persistente de acceso y explotación sobre la infraestructura que conecta a miles de millones de teléfonos en todo el mundo.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín