Alerta: fallos en femtoceldas de KT habrían permitido fraude y espionaje de SMS en Corea del Sur
La vulnerabilidad en femtoceldas de KT ha encendido las alarmas en el sector telco: el Ministerio de Ciencia y TIC de Corea del Sur concluyó que Korea Telecom (KT) desplegó miles de femtoceldas con una postura de seguridad débil, un escenario que permitió a atacantes clonar equipos y operar dentro de la red como si fueran dispositivos legítimos. El resultado: fraude por micropagos y acceso a comunicaciones (incluidos SMS) y metadatos de llamadas, con indicios de que la actividad pudo mantenerse durante un periodo prolongado.
Qué se encontró: certificados compartidos y claves en texto plano
Según el informe gubernamental y el análisis del académico Yongdae Kim (IEEE Fellow), las femtoceldas desplegadas por KT compartían un único certificado para autenticarse frente a la red del operador. El mismo análisis describe un conjunto de fallos adicionales: ausencia de contraseña root, almacenamiento de claves en plaintext y accesibilidad remota debido a SSH habilitado. En conjunto, estos factores reducían drásticamente la fricción para que un actor malicioso extrajera el material criptográfico del dispositivo y lo reutilizara para suplantar una femtocelda real.
El riesgo se agrava por una característica operativa citada en las conclusiones: al presentarse una femtocelda clonada, los terminales de clientes podían conectarse automáticamente, abriendo la puerta a la lectura de mensajes de texto y a la observación de números llamados (metadatos), un vector especialmente sensible para privacidad y para abuso de servicios basados en SMS.
Cómo se explotó la vulnerabilidad en femtoceldas de KT
La mecánica descrita por las autoridades es directa: si un atacante obtenía el certificado compartido, podía construir o modificar un equipo para “parecer” una femtocelda legítima. KT, al confiar en ese certificado común, permitiría el acceso del dispositivo clonando a la infraestructura del operador. El Ministerio señaló que el certificado tenía una validez configurada de diez años, ampliando la ventana potencial de abuso, y citó que una femtocelda falsa habría operado durante diez meses entre 2024 y 2025.
Fraude por micropagos como señal de detección
KT opera un servicio de micropagos que permite cargar compras de contenido digital mediante SMS. En septiembre, el operador investigó facturación de algunos clientes y detectó transacciones asociadas a femtoceldas clonadas por un valor de 169.000 dólares. El informe oficial cifra en 368 los clientes afectados por el esquema de fraude.
El análisis académico citado sostiene que la cifra del fraude es “absurdamente pequeña” para la sofisticación de la infraestructura, apuntando a una hipótesis inquietante: el fraude habría sido el “ruido” que dejó al descubierto una operación cuyo objetivo principal podría haber sido la recolección de datos y la vigilancia, dado que sin esa señal el abuso habría sido difícil de detectar.
Investigación policial: banda organizada, war-driving y posible conexión con incidentes previos
La policía surcoreana publicó resultados de su investigación que incluyen el hallazgo de múltiples femtoceldas clonadas y evidencia de una operación coordinada. Entre los elementos destacados figura una femtocelda falsa que utilizaba una clave instalada en un dispositivo que había operado en una base militar en 2019 y desapareció en 2020. Las autoridades informaron de 13 arrestos y una orden internacional: el presunto cabecilla permanece fugado y figura con una Interpol Red Notice.
La investigación también menciona que los sospechosos habrían realizado “war-driving” mientras operaban una femtocelda ilegal para localizar más teléfonos. Además, no se descarta que parte de la información empleada por la banda proceda de un incidente previo que habría afectado a KT, en el que se citó la presencia de malware BPFDoor durante un periodo de varios años.
Respuesta regulatoria e impacto para clientes y sector telco
Como respuesta inmediata, el gobierno exigió que KT permita a los clientes rescindir contratos sin penalización. La vulnerabilidad en femtoceldas de KT llega además en un contexto de presión creciente por incidentes de seguridad en Corea del Sur, con varios casos recientes de exposición de datos y operaciones criminales orientadas a vulnerar la privacidad.
En términos industriales, el caso reabre un debate clave: las femtoceldas son infraestructura “edge” gestionada en entornos de cliente y, por tanto, requieren controles de identidad fuerte, gestión de credenciales por dispositivo, endurecimiento de servicios remotos y una cadena de provisión que evite secretos compartidos a escala. Cuando estos principios fallan, el riesgo deja de ser un problema aislado de IoT/CPE y pasa a convertirse en un incidente de seguridad de red con implicaciones regulatorias y reputacionales.
Fuentes y referencias de alta autoridad
- Publicación oficial de la policía de Gyeonggi sobre la investigación
- Análisis técnico de Yongdae Kim sobre el incidente
Con las detenciones en marcha y la revisión regulatoria sobre la mesa, la vulnerabilidad en femtoceldas de KT se perfila como uno de los incidentes más serios del año para el ecosistema telco: no solo por el fraude detectado, sino por lo que sugiere sobre la posibilidad de interceptación silenciosa de comunicaciones y metadatos a escala.
