Entender el MAS: Guía de campo para reclusos

por

Durante años, las prisiones han luchado por controlar el flujo de teléfonos móviles de contrabando, dispositivos que sirven como salvavidas para muchas personas encarceladas. Ya sea para contactar con la familia, acceder a recursos legales o denunciar abusos, los teléfonos móviles han empoderado a los reclusos de maneras que los sistemas penitenciarios intentan suprimir. Para combatir esto, las prisiones de todo Estados Unidos – incluido el Departamento de Correcciones de Georgia – han desplegado Sistemas de Acceso Administrado (MAS, por sus siglas en inglés), sofisticadas redes de interceptación diseñadas para bloquear la comunicación móvil no autorizada.

A diferencia de las técnicas burdas de interferencia, que interrumpen indiscriminadamente las señales (y son ilegales según la ley federal), los MAS actúan como un guardián selectivo. Estos sistemas imitan torres de telefonía móvil legítimas, engañando a los teléfonos cercanos para que se conecten mientras filtran a los usuarios no autorizados. Para quienes están entre los muros de la prisión, esto significa que, aunque sus teléfonos muestren todas las barras de cobertura, las llamadas no se realizarán, los mensajes de texto no se enviarán y las conexiones de datos se bloquearán, a menos que encuentren una forma de eludir el sistema.

Pero, ¿qué sucede exactamente cuando un teléfono se enciende dentro de una prisión con MAS? ¿Cómo determina a qué torre conectarse? Y, lo más importante, ¿es posible anular el MAS, obligando a un dispositivo a enlazarse solo con torres de telefonía móvil legítimas fuera de la instalación?

Esta guía ofrece un desglose técnico detallado de cómo operan las redes celulares, cómo los sistemas MAS manipulan las conexiones telefónicas y qué contramedidas, si es que existen, pueden eludirlos. Tanto si eres un recluso, como un defensor con conocimientos técnicos, o simplemente alguien interesado en comprender la tecnología detrás de los mecanismos de control penitenciario, esta guía de campo te proporcionará los conocimientos necesarios.

Protocolo de enlace de red celular al encenderse

Cuando un teléfono móvil se enciende, pasa por un proceso de enlace y registro con la red celular. Esto implica identificar las torres de telefonía móvil disponibles, seleccionar una red, realizar una vinculación IMSI (registro en la red), autenticarse con el operador y establecer una comunicación cifrada. A continuación, desglosamos cada etapa y los protocolos implicados.

Exploración de torres de telefonía móvil y selección de red

Exploración inicial: Al arrancar, la radio del teléfono explora las señales de las torres de telefonía móvil cercanas en las frecuencias y bandas compatibles con el dispositivo. Cada torre (estación base) emite información de identificación en un canal de control, incluyendo el MCC/MNC (Código de País Móvil/Código de Red Móvil), un código de Área de Ubicación o de Área de Seguimiento y el ID de la celda. El teléfono decodifica estas emisiones para descubrir qué redes están disponibles y la intensidad de cada señal.

Selección de PLMN: A continuación, el dispositivo selecciona una red con la que registrarse. Si la SIM tiene una «red doméstica» (que coincida con un MCC/MNC), el teléfono la preferirá. En caso contrario (itinerancia), podrá elegir entre las redes permitidas. Por lo general, el teléfono elegirá la señal aceptable más fuerte para acampar.1 

(En la práctica, si varias celdas de la red doméstica superan un cierto umbral de señal, la selección puede ser cuasialeatoria entre ellas. 2) Este comportamiento explica por qué las torres falsas pueden atraer a los teléfonos: simplemente se anuncian como una red válida con mayor potencia, y los teléfonos se enganchan a la señal más fuerte por diseño.3

Una vez que el teléfono se decide por una torre, se sincroniza con la señal de radio de esa celda (obteniendo, por ejemplo, la temporización de trama) y lee las emisiones de información del sistema. A continuación procede a la vinculación a la red en esa celda.

Vinculación IMSI y registro

Vinculación IMSI: «Vinculación IMSI» es el procedimiento que utiliza un dispositivo para registrarse en la red después de encenderse.4 («IMSI» se refiere al identificador de abonado de la SIM.) El proceso es aproximadamente el siguiente 5 6:

1. Solicitud de canal: El teléfono envía una solicitud en el Canal de Acceso Aleatorio (RACH) para pedir un canal de enlace ascendente para la señalización.7

2. Asignación: La torre (Subsistema de Estación Base en términos GSM) responde en el Canal de Concesión de Acceso con la asignación de un canal de señalización dedicado (por ejemplo, un SDCCH en 2G) para el dispositivo.7

3. Identificación: A través del canal dedicado, el teléfono envía un mensaje de Solicitud de Vinculación/Actualización de Ubicación, que incluye su identidad. Si dispone de un identificador temporal emitido previamente (TMSI/GUTI de una sesión anterior), puede enviarlo; en caso contrario, envía su IMSI (la identidad permanente de abonado).8

4. Registro en la red central: La torre transmite esto a la red central (MSC/VLR en 2G/3G o MME en 4G). El Registro de Ubicación de Visitantes (VLR) comprueba si tiene una entrada para el abonado. Si no es así, contacta con el Registro de Ubicación Base (HLR/HSS) del operador del abonado para recuperar el perfil del abonado y los datos de autenticación.9 10 Este paso actualiza a la red sobre el área de ubicación actual del teléfono.

5. Respuesta de la red: La red se prepara para autenticar el dispositivo (siguiente sección). En este punto, el dispositivo aún no está completamente «en red»: está en medio del proceso de vinculación.

Autenticación e intercambio de claves

Una vez que la red sabe qué abonado (IMSI) se está vinculando, inicia un procedimiento de autenticación para verificar la SIM y establecer las claves de cifrado:

Desafío-Respuesta (AKA): El centro de autenticación (AuC) de la red genera un desafío aleatorio (RAND) y calcula una respuesta esperada utilizando la clave secreta asociada al IMSI. Para GSM, la SIM utiliza el algoritmo A3 para calcular una respuesta (SRES) y una clave de cifrado (Kc) a partir de RAND; para 3G/4G se utiliza un protocolo AKA (Autenticación y Acuerdo de Claves) más avanzado (que produce un token AUTN, una respuesta XRES y claves CK/IK). La red envía el desafío al dispositivo.11

Respuesta de la SIM: La tarjeta SIM calcula la respuesta con su secreto almacenado y envía el resultado (SRES o similar) de vuelta a la red.12

Verificación: La red compara la respuesta de la SIM con su resultado esperado. Si coinciden, el abonado queda autenticado correctamente.12. (En AKA de 4G, el dispositivo también valida el AUTN para autenticar la red, mitigando los ataques de torres falsas que carecen de las credenciales reales).

En esta etapa, ambas partes también derivan una clave de sesión para el cifrado. Por ejemplo, en GSM, el algoritmo A8 de la SIM produce la clave de cifrado Kc (que se comunica desde el AuC a la estación base). En LTE, las claves de cifrado/integridad se derivan del proceso AKA y se distribuyen a la estación base (eNodeB) a través del MME.

Activación del cifrado

Tras la autenticación, la red activa el cifrado por radio para que el tráfico posterior se transmita cifrado entre el teléfono y la torre:

Comando de Modo Cifrado: La estación base indica al teléfono que inicie el modo cifrado, especificando qué algoritmo de cifrado utilizar (por ejemplo, A5/1 para GSM, o cifrado basado en AES para 4G). 13. En 2G, este es el comando «SET CIPHER MODE»; en LTE, el cifrado comienza como parte del procedimiento de Comando de Modo de Seguridad.

Cambio a canal cifrado: El dispositivo y la torre conmutan sus radios para utilizar el cifrado acordado y la clave derivada. A partir de este momento, todas las comunicaciones por radio se cifran. El teléfono envía una confirmación (Modo Cifrado Completado) una vez que ha activado el cifrado.13 Ahora el enlace está cifrado de extremo a extremo en la capa de radio.

(Nota: En las redes 2G heredadas, el cifrado podía ser desactivado por la torre (utilizando un «cifrado nulo»), una vulnerabilidad importante explotada por los captadores de IMSI. Las redes y dispositivos modernos pueden rechazar el cifrado nulo por seguridad.14)

Finalización de la vinculación

Con la autenticación y el cifrado realizados, la red completa el proceso de vinculación:

• La red central registra la ubicación del dispositivo. El MSC/VLR o MME envía de vuelta al teléfono una «Aceptación de Vinculación/Actualización de Ubicación», a menudo asignando un nuevo Identificador Temporal (TMSI en 2G/3G o GUTI en LTE) para usar en señalizaciones futuras en lugar del IMSI.15 Esto protege al IMSI de ser enviado de nuevo en texto plano por el aire. El teléfono lo reconoce y almacena el identificador temporal.

• El teléfono se considera ahora vinculado (registrado) y normalmente entra en modo de reposo en esa celda, escuchando los canales de búsqueda para llamadas o mensajes entrantes y estando listo para iniciar comunicaciones salientes.

Resumen: En resumen, al encenderse, el teléfono encuentra una celda, se registra (vinculación IMSI) para que la red sepa que está presente,5 se autentica mediante un desafío-respuesta de la SIM y luego activa el cifrado en el enlace de radio.13 Después de esto, el teléfono puede enviar y recibir tráfico de usuario (llamadas, SMS, datos) de forma segura a través de la conexión protegida.

Cómo los dispositivos identifican y se conectan a las torres de telefonía móvil

Los dispositivos móviles no «negocian» literalmente con todas las torres al alcance: primero deciden qué torre utilizar:

Canales de difusión: Las torres de telefonía móvil emiten continuamente identificadores en canales especiales (por ejemplo, el BCCH en GSM, o canales de sincronización y difusión en LTE). El dispositivo explora y encuentra estas señales, leyendo información como la identificación de la red y los parámetros de la torre. Esto permite al teléfono reconocer si la torre pertenece a su red doméstica o a un operador de itinerancia, y cuál es la calidad de la señal.

Intensidad de la señal y prioridad: En general, un teléfono acampará en la red permitida con la mejor señal en su ubicación. Las torres de la red doméstica de la SIM tienen prioridad. Si hay varias torres de la red doméstica visibles, el teléfono elegirá la que tenga la señal de radio más fuerte (o dentro de un umbral, como se ha señalado) para maximizar la calidad del servicio.3 Esta selección automática es la razón por la que una torre fraudulenta puede atraer conexiones simplemente transmitiendo una señal más fuerte que las torres legítimas16 – el teléfono ve la señal fuerte y asume que es la mejor opción.

Ubicación y traspaso: Si el teléfono se está moviendo, monitoriza continuamente las señales de las celdas vecinas (en frecuencias dedicadas de la lista de vecinos proporcionada por la torre actual). El teléfono puede cambiar a una celda mejor según sea necesario (traspaso), pero esto ocurre después de la vinculación inicial. Durante el modo de reposo, si la señal cae o el teléfono entra en una nueva área de ubicación, puede buscar una nueva torre y realizar una actualización.

Ajustes de selección de red: Normalmente, los usuarios no controlan la selección de una torre específica, pero pueden influir en la selección de red (por ejemplo, eligiendo un operador concreto en modo manual). Aun así, a nivel de celda, el software de banda base del teléfono decide en qué torre acampar basándose en las condiciones de radio y las directivas de la red. Solo las herramientas de prueba de campo especializadas o el firmware modificado pueden fijar un teléfono a una torre o frecuencia concreta (esto se analizará más adelante).

Ahora que hemos cubierto el proceso normal de vinculación, examinemos los Sistemas de Acceso Administrado (MAS) y cómo alteran este comportamiento.

Papel de los Sistemas de Acceso Administrado (MAS) en la interceptación de conexiones

Los Sistemas de Acceso Administrado son dispositivos de red celular especializados (a menudo utilizados en prisiones, instalaciones seguras, etc.) que actúan como torres de telefonía móvil intermediarias para interceptar o controlar las conexiones móviles. A diferencia de los inhibidores ilegales, los MAS son sistemas autorizados que se presentan como operadores legítimos ante los teléfonos cercanos. Así es como funcionan y afectan al protocolo de enlace:

Suplantación de un operador: Un MAS despliega uno o más sitios celulares de baja potencia (como femtoceldas o pequeñas torres) en un área objetivo.17 Estas «torres» del MAS emiten los mismos identificadores que las redes celulares reales (para todos los operadores principales) en esa área, imitando efectivamente la red celular.18 Para un teléfono, las señales del MAS son como otra celda (generalmente muy fuerte) de su operador. Como resultado, los teléfonos en la zona acamparán en el MAS por preferencia, a menudo sin que el usuario tenga ninguna indicación de que está en un sistema cautivo.

Interceptación de llamadas/mensajes de texto: Una vez que un teléfono se conecta, el MAS gestionará la vinculación e incluso transmitirá la autenticación a la red del operador real si es necesario (el MAS puede configurarse para interactuar con los operadores o funcionar en un modo «autónomo» controlado). El MAS comprueba inmediatamente los identificadores del dispositivo (IMSI, etc.) contra una lista aprobada de dispositivos permitidos. Los dispositivos autorizados (por ejemplo, los teléfonos de los guardias o números pre-registrados) pueden usar la red con normalidad, actuando el MAS como un repetidor hacia el operador para que las llamadas/mensajes de texto se cursen.17 Los dispositivos no autorizados (por ejemplo, nuestros teléfonos de contrabando) ven sus comunicaciones bloqueadas o descartadas en el MAS.18 En esencia, el MAS «apaga» selectivamente el servicio a los teléfonos no permitidos: el teléfono cree que está conectado a su red, pero no puede completar llamadas ni enviar mensajes.

Sin servicio para teléfonos no autorizados: Para un teléfono no autorizado, el MAS puede rechazar el registro o simplemente no permitir el tráfico nunca (se niega a encaminar el tráfico). A menudo, el dispositivo mostrará todas las barras de cobertura (porque está acampado en la celda del MAS) pero no puede realizar llamadas ni enviar mensajes de texto, excepto a números de emergencia. Esto convierte efectivamente al teléfono en un «pisapapeles» en términos de comunicación.19 18 El MAS puede enviar un rechazo de red para cualquier intento de llamada/SMS desde un dispositivo no aprobado, o enrutarlo a ninguna parte. Para el usuario, parece que la red no funciona.

Funcionamiento técnico: El Acceso Administrado difiere de un captador de IMSI básico en que suele ser un sistema siempre activo que cubre un área y funciona con todas las señales de los operadores. Requiere aprobación reglamentaria y coordinación con los operadores (ya que utiliza frecuencias con licencia e incluso conecta llamadas para usuarios en lista blanca).20 Las instalaciones MAS normalmente restringen su señal a los límites de la instalación para evitar secuestrar a usuarios legítimos cercanos.21 A menudo tienen que reducir la potencia en el perímetro para que fuera de la prisión los usuarios públicos no se vean afectados. Si no se configura adecuadamente, un MAS podría causar interferencias a los usuarios normales justo fuera de la cobertura, lo cual es una preocupación conocida.20

Elusión de MAS (Limitaciones): La eficacia del MAS depende de cubrir todas las zonas donde un teléfono podría obtener señal. Si existen «puntos muertos» en la cobertura del MAS (por ejemplo, una esquina de un edificio donde la señal del MAS es lo suficientemente débil y se filtra la señal de una torre de un operador real), un teléfono no autorizado podría encontrar la red real. De hecho, los reclusos suelen aprender rápidamente dónde pueden conectarse sus teléfonos a torres exteriores (yo siempre lo hacía, aunque suele ser un lugar incómodo), explotando cualquier agujero de cobertura en la red del MAS.21 Este juego del gato y el ratón pone de relieve que el MAS necesita una cobertura integral, y también que un teléfono preferirá una torre real si la señal del MAS baja lo suficiente (ya que el teléfono verá entonces la red externa como más fuerte).

En resumen, el MAS intercepta el protocolo de enlace haciendo que el teléfono se vincule a él en lugar de a la red pública. Autentica al teléfono lo justo para obtener su identidad, y luego decide reenviar la conexión al operador (teléfono permitido) o bloquearla (teléfono de contrabando). 22 Desde la perspectiva del teléfono, cree que está en la red de su operador, pero un guardián oculto está filtrando su acceso.

Forzar a un teléfono a ignorar un MAS y preferir torres específicas

Dado que un MAS finge ser la torre mejor/más fuerte, ¿cómo se puede forzar a un teléfono a ignorarlo y atenerse a una torre de un operador genuino? Esto es no trivial, porque los teléfonos están diseñados para elegir automáticamente lo que parece ser la señal óptima. De fábrica, los usuarios tienen un control muy limitado sobre la selección de torres individuales. Sin embargo, existen algunas estrategias técnicas para anular el comportamiento predeterminado:

Desafíos y requisitos

Limitaciones del sistema operativo: iOS y Android de serie no permiten poner en lista negra una torre de telefonía móvil o BSSID en particular. El algoritmo de selección es interno al módem de banda base. Puedes elegir manualmente un operador (operador de red), pero no un sitio celular específico en esa red. Si el MAS está imitando a tu operador, el teléfono no ve ninguna diferencia en la identidad de la red para evitarlo.

Necesidad de Jailbreak/Root: Lograr un control detallado normalmente requiere acceso de bajo nivel a los ajustes de radio del dispositivo, lo cual a su vez requiere a menudo un dispositivo con jailbreak (para iPhone) o rooteado (para Android). Con control administrativo, puedes ejecutar software o comandos que el sistema operativo normal no permitiría. Por ejemplo, la interfaz de usuario normal de Android no ofrece un interruptor «prohibir este ID de celda», pero con root podrías usar herramientas de ingeniería para hacerlo. Del mismo modo, Apple no proporciona dichos controles a los usuarios; se necesitaría hacer jailbreak y modificar archivos plist del operador o usar una herramienta personalizada, lo cual es avanzado y poco frecuente.

Seguridad vs. funcionalidad: Vale la pena señalar que los fabricantes de teléfonos y los operadores generalmente no quieren que los usuarios manipulen estos ajustes porque una mala configuración podría provocar pérdida de servicio o interferencias en la red. Por lo tanto, las capacidades existen (para pruebas e ingeniería), pero están ocultas a los consumidores. Probablemente me habrás oído decir mil veces que nunca rootees un teléfono. Rompe totalmente la seguridad. Mantengo esta opinión, excepto que ahora puede que nos veamos obligados a hacerlo. Reservaré algunas ideas para mantenerse seguro para otro día, pero recuerda, si rooteas/haces jailbreak a tu teléfono, cualquier agente de la ley, incluso los oficiales ignorantes del GDC, podrá leer TODO lo que hay en tu teléfono, incluidas TODAS TUS CONTRASEÑAS, y entrar en TODAS tus cuentas.

En resumen, sí, casi seguro que necesitas root/jailbreak para forzar de forma fiable a un teléfono a ignorar un MAS. Existen algunas excepciones limitadas (como veremos con las nuevas funciones del sistema operativo, como la desactivación de 2G), pero para un control granular como fijarse a una torre específica, se necesita acceso root para ejecutar aplicaciones o comandos especializados.23

Enfoques basados en software para anular el MAS

A pesar de los obstáculos, varios enfoques (principalmente de software) pueden ayudar a un teléfono a evitar un MAS o una torre falsa:

Desactivar las redes heredadas: Un truco común de los captadores de IMSI es degradar los teléfonos a 2G (que tiene una seguridad más débil). Si el MAS (o la torre fraudulenta) depende de 2G/3G, una defensa es forzar al teléfono a usar solo 4G/5G. Las versiones más recientes de Android permiten desactivar completamente los módems 2G por razones de seguridad.24 25 Asimismo, Apple introdujo un Modo de Bloqueo en iOS 17 que rechaza las celdas 2G desconocidas. Al desactivar 2G, el teléfono ignorará cualquier MAS solo 2G. Esto se puede hacer en ajustes en algunos dispositivos (por ejemplo, un interruptor «Permitir 2G» que se APAGA). En dispositivos más antiguos donde no está expuesto, se necesitaba una modificación a nivel root o una herramienta de terceros para lograr el mismo efecto.23 Desactivar 2G cierra una gran vulnerabilidad (no más caídas a una red insegura),26 aunque no ayudará si el MAS opera también en 4G. Sospecho que el GDC está instalando equipos más avanzados ya que tienen mucho dinero asignado para ello.

Forzar bandas/tecnologías de radio específicas: Si sabes que la torre legítima utiliza una determinada banda de frecuencia que el MAS no está usando, puedes indicar al teléfono que se fije solo en esa banda. Por ejemplo, supongamos que la torre real del operador en la zona está en la banda 12 de LTE, pero el MAS está emitiendo en la banda 5 de LTE – podrías restringir el teléfono a la banda 12. Algunos teléfonos Android tienen menús ocultos de «Modo Servicio» o códigos de depuración para seleccionar bandas preferidas. Sin root, esto depende del dispositivo (algunos teléfonos con Qualcomm permiten marcar *#*#4636#*#* y elegir solo LTE, etc., lo que puede excluir indirectamente 3G). Con root, las aplicaciones pueden controlar directamente la selección de bandas. Al reducir las bandas, reduces la probabilidad de que el teléfono vea el MAS si este no está en esas bandas. Necesitamos información más detallada de Telfair sobre las bandas utilizadas por el MAS.

Fijación de celda: El método más preciso es fijar el teléfono a una torre celular específica (ID de celda) o canal de frecuencia. Esta capacidad no está disponible en los ajustes normales, pero existe software de ingeniería. Para Android, una aplicación llamada Network Signal Guru (requiere root) permite seleccionar una celda LTE exacta (identificada por PCI y EARFCN) y acampar solo en ella.27 Por ejemplo, si puedes identificar el ID de celda de una torre genuina (podemos usar aplicaciones ahora, antes de que el MAS esté activo, para identificar todos los BSSID de las torres reales), puedes ordenar al teléfono que se quede en ella. El teléfono ignorará entonces otras celdas, incluidas las del MAS, mientras el bloqueo esté activo.27 Esto efectivamente anula la selección normal de la radio. Del mismo modo, las herramientas de diagnóstico de Qualcomm (QXDM/QPST) o los comandos AT en algunos módems pueden fijar celdas o poner en lista negra IDs de celda específicos. Son técnicas avanzadas, pero han sido utilizadas por entusiastas para mejorar la señal o evitar torres de bajo rendimiento – y podrían usarse también para evitar una torre del GDC.

Aplicaciones de monitorización/detección: Otro enfoque es usar aplicaciones que detectan cuándo estás conectado a una torre sospechosa, para que puedas tomar medidas manualmente. Aplicaciones como SnoopSnitch (de SRLabs) o teléfonos como el GSMK CryptoPhone tienen firewalls de banda base que vigilan signos reveladores de captadores de IMSI (por ejemplo, falta repentina de cifrado, o un ID de red desconocido).28 29 Por ejemplo, si un MAS desactivara el cifrado o utilizara un Código de Área de Ubicación falso, estas herramientas alertarían al usuario. Aunque esto no fuerza automáticamente una desconexión, podrías entonces apagar y encender la radio o poner el modo avión. Esto podría ayudar con los MAS móviles, pero no con los sistemas MAS permanentes que el GDC está instalando ahora. En el contexto del MAS, si el teléfono de una persona ajena fuera captado por un MAS penitenciario, una aplicación de detección podría marcar que la torre no es normal, incitando al usuario a intentar otra cosa (como alejarse de la prisión hasta que el teléfono encuentre una torre real).

Modificaciones de firmware: En teoría, se podría modificar el firmware de banda base del teléfono para implementar una lógica de selección personalizada (por ejemplo, «nunca conectarse a IDs de celda en el rango XYZ» o «solo confiar en estas torres específicas»). En la práctica, el firmware de banda base es propietario y no es de código abierto, por lo que esto no es factible para los usuarios finales. Sin embargo, el concepto existe en la investigación; por ejemplo, los proyectos de banda base de código abierto (como OsmocomBB para teléfonos GSM antiguos) permiten un control completo: se podría programar un teléfono de este tipo para ignorar ciertos identificadores. En los teléfonos inteligentes modernos, sin embargo, esto requeriría ingeniería inversa del firmware del módem, lo cual es extremadamente complejo. Por lo tanto, no se conoce públicamente ningún parche de firmware general para este propósito.

Uso de 5G SA (Standalone): Si está disponible, el uso del modo 5G Standalone podría eludir el MAS. Muchas instalaciones MAS actuales manejan 2G-4G pero puede que aún no admitan 5G. 30 Un teléfono moderno podría ser forzado a usar solo 5G (algunos operadores permiten el modo «solo NR») para que intente acampar en una celda 5G de la red real. Si el MAS solo está emulando hasta LTE, el teléfono en modo solo 5G ignoraría completamente el MAS y buscaría una señal 5G del operador. Esto requiere que haya una señal 5G genuina presente en la zona. (Si el MAS también tuviera una celda 5G o si la cobertura 5G es débil, esto podría no ayudar).

Herramientas existentes y viabilidad

Enumeremos algunas soluciones o configuraciones existentes que implementan las ideas anteriores y discutamos qué tan factibles son para un usuario medio:

Ajustes de red integrados: Revisa los ajustes de red móvil de tu teléfono en busca de opciones como «Tipo de red preferido». Configurar «Solo LTE» o «Solo 5G» puede impedir por completo las conexiones 3G/2G, lo cual es una defensa parcial. Los teléfonos Android más recientes (Android 12+) suelen tener un interruptor «Desactivar 2G» en las Opciones de Desarrollador o en los ajustes de la SIM.25 Activar esto asegura que el teléfono no se conectará a ninguna celda 2G (excepto para llamadas de emergencia al 911).31 Es un ajuste sencillo que reduce enormemente el riesgo de las torres falsas heredadas. Los iPhones en Modo de Bloqueo rechazan igualmente las redes 2G. Estas medidas no requieren jailbreak/root: se proporcionan por seguridad.

Aplicaciones basadas en root: Si rooteas un Android, aplicaciones como Network Signal Guru (mencionada) o Advanced Signal Status pueden usarse para fijar bandas o celdas. También existen módulos antiguos del framework Xposed que permitían ajustar el comportamiento de la radio. Por ejemplo, se podría usar un módulo Xposed para rechazar mediante programación ciertos ID de celda o preferir continuamente una celda. Esto requiere conocimientos técnicos para configurarlo. Xposed (o Magisk) también se puede usar para desactivar 2G en dispositivos que originalmente no admitían el interruptor32 (esto era más relevante antes de que existiera la opción oficial). Ten en cuenta que el uso de estas herramientas puede hacer inestable el dispositivo si se configura incorrectamente.

Aplicaciones detectoras de captadores de IMSI: SnoopSnitch (Android, root) analiza mensajes de bajo nivel de banda base en chips Qualcomm para detectar eventos sospechosos (como desactivación forzada del cifrado, alertas de torres falsas). AIMSICD era un proyecto detector de captadores de IMSI de código abierto para Android (parece estar inactivo ahora) que pretendía mapear y advertir sobre torres fraudulentas. Estas pueden alertarte pero no bloquear automáticamente una conexión: tendrías que actuar ante una alerta.

Hardware seguro: Dispositivos especializados como el CryptoPhone (un teléfono seguro basado en Android) vienen con un firewall integrado que automáticamente descarta o rechaza las conexiones que parecen fraudulentas. Por ejemplo, si el cifrado está inesperadamente desactivado o la identidad de una torre es sospechosa, puede negarse a transmitir datos. Se trata esencialmente de soluciones de firmware personalizadas y cuestan miles de dólares 33 34: no es una solución para un recluso medio, pero muestra que es factible cuando se controla el sistema operativo y la integración de la banda base.

Lista blanca de red: En escenarios empresariales o de IoT, a veces se puede configurar un dispositivo para que solo use operadores o redes específicos (a través de ajustes de la SIM o gestión de dispositivos móviles). Por ejemplo, una política MDM podría restringir un teléfono a una PLMN de red concreta. Sin embargo, contra el MAS esto no ayuda si el MAS está usando esa misma PLMN. No hay una forma fácilmente disponible de poner en lista blanca a nivel de torre celular en los teléfonos de consumo.

Viabilidad: Para un usuario típico, forzar a un teléfono a ignorar una torre de acceso administrado es difícil. Para anular activamente un MAS mediante software, debes tener root o dispositivos especializados, lo que conlleva riesgos:

• Rootear/hacer jailbreak puede introducir problemas de seguridad. Es un paso que solo los usuarios avanzados pueden realizar, y la mayoría de los teléfonos de modelos recientes solo podrán ser rooteados usando un ordenador.

• Incluso con root, identificar el MAS frente a la torre legítima requerirá conocimiento de campo (necesitarías conocer las frecuencias o IDs de celda que está usando el MAS, lo cual no es trivial a menos que tengas algunos datos o herramientas). Esto es algo que debemos empezar a mapear AHORA.

• Si la cobertura del MAS es muy fuerte, a veces incluso fijarse a una celda preferida podría no funcionar: la señal genuina deseada podría ser demasiado débil bajo la sombra del MAS. En tales casos, ningún ajuste de software ayudará a menos que puedas blindar físicamente el teléfono del MAS o aumentar la señal de la torre real (por ejemplo, usando una antena direccional o un repetidor para el operador real – algo fuera de nuestro caso de uso).

En resumen, es técnicamente posible para un usuario decidido —nosotros (con un dispositivo rooteado o firmware de teléfono especial) anular un sistema MAS – por ejemplo, fijando el dispositivo a torres de telefonía móvil legítimas conocidas o desactivando las bandas en las que opera el MAS. Existen herramientas y aplicaciones para lograr partes de esto, principalmente en Android.35 23 Sin embargo, la implementación no es trivial y depende de la situación. En muchos casos, la solución más sencilla para evitar un MAS es aprovechar las mejoras de la red (desactivar las conexiones 2G inseguras,26 requerir cifrado, usar 5G si está disponible).

Como ingeniero de software que explora esto, la conclusión es que los teléfonos modernos no se construyeron pensando en la elusión de MAS: hay que forzar las reglas de radio del teléfono mediante acceso root y software personalizado para lograr una preferencia de conexión exclusiva. Es un desafío técnico interesante con algunas soluciones.

Footnotes
  1. https://www.wired.com/2014/09/cryptophone-firewall-identifies-rogue-cell-towers/#:~:text=IMSI%20catchers%2C%20stingrays%20or%20GSM,The%20systems%20are []
  2. https://support.emnify.com/hc/en-us/articles/360010425360-How-is-the-cellular-network-selection-handled#:~:text=The%20device%20will%C2%A0%20randomly%20select,field%C2%A0%20strength%20will%20be%20selected []
  3.  https://www.wired.com/2014/09/cryptophone-firewall-identifies-rogue-cell-towers/#:~:text=IMSI%20catchers%2C%20stingrays%20or%20GSM,The%20systems%20are [][]
  4. https://en.wikipedia.org/wiki/GSM_procedures#:~:text=In%20a%20GSM%20%20network%2C,lead%20to%20a%20Location%20update []
  5.  https://en.wikipedia.org/wiki/GSM_procedures#:~:text=In%20a%20GSM%20%20network%2C,lead%20to%20a%20Location%20update [][]
  6. https://en.wikipedia.org/wiki/GSM_procedures#:~:text=1,This%20acknowledgement%20only%20tells%20the: []
  7.  https://en.wikipedia.org/wiki/GSM_procedures#:~:text=1,This%20acknowledgement%20only%20tells%20the [][]
  8.  https://en.wikipedia.org/wiki/GSM_procedures#:~:text=3,Update%20Request%20to%20the%20MSC%2FVLR []
  9.  https://en.wikipedia.org/wiki/GSM_procedures#:~:text=the%20MS%20has%20changed%20Location,lead%20to%20a%20%2022 []
  10. https://en.wikipedia.org/wiki/GSM_procedures#:~:text=update%20has%20been%20processed,on%20the%20network%20and%20is []
  11.  https://en.wikipedia.org/wiki/GSM_procedures#:~:text=10,AuC%20with%20the%20SRES%20generated []
  12.  https://en.wikipedia.org/wiki/GSM_procedures#:~:text=11,Kc%20and%20forwards%20the%20Set [][]
  13.  https://en.wikipedia.org/wiki/GSM_procedures#:~:text=across%20the%20Air%20Interface%20to,The [][][]
  14.  https://www.eff.org/deeplinks/2023/09/apple-and-google-are-introducing-new-ways-defeat-cell-site-simulators-it-enough#:~:text=mobile%20security%20setting%20for%20Android,doesn%27t%20have%20a%20SIM%20card []
  15.  https://en.wikipedia.org/wiki/GSM_procedures#:~:text=Complete%20message%20to%20the%20BSS,by%20sending%20it%20a%20Channel []
  16.  https://www.wired.com/2014/09/cryptophone-firewall-identifies-rogue-cell-towers/#:~:text=IMSI%20catchers%2C%20stingrays%20or%20GSM,The%20systems%20are  []
  17.  https://en.wikipedia.org/wiki/Managed_access_(corrections)#:~:text=passes%20calls%20to%20cellular%20carriers%3B,5 [][]
  18.  https://www.bvsystems.com/wp-content/uploads/2016/04/Controlling-Contraband-Cell-Phones-by-Scott-Schober.pdf#:~:text=Challenges%20of%20Managed%20Access%20Systems,FCC%20regulations%20prohibit%20the%20Managed [][][]
  19.  https://www.corrections1.com/phones/articles/how-technology-can-combat-contraband-cell-phones-rv5Jjdr6LJSyAfSK/#:~:text=Managed%20access%20has%20the%20ability,deal%20breakers%20for%20smaller%20facilities  []
  20.  https://en.wikipedia.org/wiki/Managed_access_(corrections)#:~:text=Managed%20access%20systems%20are%20unable,6 [][]
  21.  https://www.bvsystems.com/wp-content/uploads/2016/04/Controlling-Contraband-Cell-Phones-by-Scott-Schober.pdf#:~:text=%E2%80%A2%20Managed%20Access%20Systems%20effectiveness,could%20potentially%20outpace%20MAS%20equipment [][]
  22. https://www.bvsystems.com/wp-content/uploads/2016/04/Controlling-Contraband-Cell-Phones-by-Scott-Schober.pdf#:~:text=Challenges%20of%20Managed%20Access%20Systems,FCC%20regulations%20prohibit%20the%20Managed []
  23.  https://www.cloudwards.net/how-to-block-stingray-surveillance/#:~:text=To%20get%20around%20this%2C%20you,and%204G%20cellular%20networks%20that [][][]
  24.  https://source.android.com/docs/security/features/cellular-security/disable-2g#:~:text=The%20most%20severe%20threat%20to,inject%20traffic%20to%20a%20device  []
  25.  https://source.android.com/docs/security/features/cellular-security/disable-2g#:~:text=Android%20allows%20users%20to%20disable,or%20connecting%20to%202G%20networks [][]
  26.  https://source.android.com/docs/security/features/cellular-security/disable-2g#:~:text=The%20most%20severe%20threat%20to,inject%20traffic%20to%20a%20device [][]
  27.  https://m.qtrun.com/docs/NSG_Manual_Aug_2017.pdf#:~:text=You%20can%20lock%20on%20a,EARFCN%20in%20an%20edit%20box [][]
  28.  https://www.wired.com/2014/09/cryptophone-firewall-identifies-rogue-cell-towers/#:~:text=connections%20to%20the%20phone%27s%20baseband,alert%20users%20when%20this%20occurs  []
  29.  https://www.wired.com/2014/09/cryptophone-firewall-identifies-rogue-cell-towers/#:~:text=GSMK%27s%20CryptoPhone%20500%2C%20a%20high,the%20mobile%20network%27s%20standard%20encryption []
  30. https://www.bvsystems.com/wp-content/uploads/2016/04/Controlling-Contraband-Cell-Phones-by-Scott-Schober.pdf#:~:text=that%20allows%20an%20unauthorized%20phone,Managed%20Access%20Systems%20have%20holes []
  31.  https://source.android.com/docs/security/features/cellular-security/disable-2g#:~:text=Note%3A%20Emergency%20calling%20is%20never,2G%20networks%20for%20emergency%20services []
  32.  https://www.cloudwards.net/how-to-block-stingray-surveillance/#:~:text=To%20get%20around%20this%2C%20you,and%204G%20cellular%20networks%20that  []
  33.  https://www.wired.com/2014/09/cryptophone-firewall-identifies-rogue-cell-towers/#:~:text=GSMK%27s%20CryptoPhone%20500%2C%20a%20high,the%20mobile%20network%27s%20standard%20encryption   []
  34. https://www.wired.com/2014/09/cryptophone-firewall-identifies-rogue-cell-towers/#:~:text=phones%20and%20the%20patented%20baseband,the%20mobile%20network%27s%20standard%20encryption []
  35.  https://m.qtrun.com/docs/NSG_Manual_Aug_2017.pdf#:~:text=You%20can%20lock%20on%20a,EARFCN%20in%20an%20edit%20box  []

You just read about people suffering in state custody. The least you can do is make sure other people read it too. Share this story.

Spread the Word — It Takes One Click

Deja un comentario

Report a Problem