El 3 de octubre 2018, Los teléfonos celulares de los Estados Unidos recibieron un mensaje de texto con la etiqueta "Alerta presidencial". El mensaje decía:"ESTA ES UNA PRUEBA del Sistema Nacional Inalámbrico de Alerta de Emergencia. No se necesita ninguna acción".

Fue la primera prueba de un nuevo sistema de alerta nacional, desarrollado por varias agencias gubernamentales de EE. UU. como una forma de advertir a la mayor cantidad posible de personas en los Estados Unidos si un desastre era inminente.

Ahora, un nuevo estudio realizado por investigadores de la Universidad de Colorado Boulder levanta una bandera roja en torno a estas alertas, a saber, que tales alertas de emergencia autorizadas por el presidente de los Estados Unidos pueden, teóricamente, ser falsificado.

El equipo, incluyendo profesores del Departamento de Ciencias de la Computación (CS) de CU Engineering, Departamento de Electricidad, Ingeniería Informática y Energética (ECEE) y Tecnología, El programa Cybersecurity and Policy (TCP) descubrió una puerta trasera a través de la cual los piratas informáticos podrían imitar esas alertas, enviar mensajes falsos a personas en un área confinada, como un campo de deportes o una densa manzana.

Los investigadores, que ya han informado de sus resultados a funcionarios del gobierno de EE. UU., dicen que el objetivo de su estudio es trabajar con las autoridades pertinentes para prevenir un ataque de este tipo en el futuro.

"Creemos que esto es algo de lo que el público debe ser consciente para alentar a los portadores de celulares y a los organismos de normalización a corregir este problema". "dijo Eric Wustrow, coautor del estudio y profesor asistente en ECEE. "Mientras tanto, la gente probablemente debería seguir confiando en las alertas de emergencia que ven en sus teléfonos ".

Los investigadores informaron sus resultados en la Conferencia Internacional de Sistemas Móviles de 2019, Aplicaciones y servicios (MobiSys) en Seúl, Corea del Sur, donde su estudio ganó el premio al "mejor trabajo".

Wustrow dijo que él y sus colegas Sangtae Ha y Dirk Grunwald decidieron continuar con el proyecto, en parte, debido a un evento de la vida real.

En enero de 2018, meses antes de que saliera la primera prueba de alerta presidencial, millones de hawaianos recibieron una similar, pero aparentemente genuino, mensaje en sus teléfonos:alguien había lanzado un ataque con misiles balísticos contra el estado.

Era, por supuesto, un error, pero ese evento hizo que el equipo de CU Boulder se preguntara:¿Qué tan seguras son tales alertas de emergencia?

La respuesta, al menos para las alertas autorizadas por el presidente, depende de dónde mires.

"Enviar la alerta de emergencia del gobierno a las torres de telefonía celular es razonablemente seguro, "dijo el coautor Sangtae Ha, profesor asistente en el Departamento de Ciencias de la Computación. "Pero existen enormes vulnerabilidades entre la torre celular y los usuarios".

Ha explicó que debido a que el gobierno quiere que las alertas presidenciales lleguen a tantos teléfonos celulares como sea posible, Se necesita un enfoque amplio para transmitir estas alertas:enviar mensajes a través de un canal distinto a cada dispositivo dentro del alcance de una torre celular.

Él y sus colegas descubrieron que los piratas informáticos podían aprovechar esa laguna creando sus propios torres de telefonía del mercado negro. Primero, el equipo, trabajando en un laboratorio seguro, desarrolló un software que podría imitar el formato de una alerta presidencial.

"Solo necesitamos transmitir ese mensaje en el canal correcto, y el teléfono inteligente lo recogerá y lo mostrará, "Ha dicho.

Y, él dijo, el equipo descubrió que dichos mensajes podrían enviarse utilizando transmisores inalámbricos disponibles comercialmente con una alta tasa de éxito, o llegando aproximadamente al 90 por ciento de los teléfonos en un área del tamaño del campo Folsom de CU Boulder, potencialmente enviando advertencias maliciosas a decenas de miles de personas.

Es una amenaza potencialmente importante para la seguridad pública, dijo Grunwald, profesor de informática.

"Creemos que es preocupante, por eso pasamos por un proceso de divulgación responsable con diferentes agencias gubernamentales y operadores, " él dijo.

El equipo ya ha ideado algunas formas de frustrar tal ataque y está trabajando con socios en la industria y el gobierno para determinar qué mecanismos son más efectivos.