El cifrado creado para radios policiales y militares podría descifrarse fácilmente

Hace dos años, investigadores de los Países Bajos descubrieron una puerta trasera intencional en un algoritmo de cifrado integrado en radios utilizadas por infraestructuras críticas (así como por la policía, agencias de inteligencia y fuerzas militares de todo el mundo) que hacía que cualquier comunicación protegida con el algoritmo fuera vulnerable a escuchas clandestinas.

Cuando los investigadores revelaron públicamente el problema en 2023, el Instituto Europeo de Normas de Telecomunicaciones (ETSI), que desarrolló el algoritmo, recomendó a cualquiera que lo utilizara para comunicaciones sensibles que implementara una solución de cifrado de extremo a extremo además del algoritmo defectuoso para reforzar la seguridad de sus comunicaciones.

Pero ahora, los mismos investigadores han descubierto que al menos una implementación de la solución de cifrado de extremo a extremo avalada por el ETSI presenta un problema similar que la hace igualmente vulnerable a las escuchas. El algoritmo de cifrado utilizado para el dispositivo examinado comienza con una clave de 128 bits, pero esta se comprime a 56 bits antes de cifrar el tráfico, lo que facilita su descifrado. No está claro quién utiliza esta implementación del algoritmo de cifrado de extremo a extremo, ni si quienes utilizan dispositivos con cifrado de extremo a extremo conocen la vulnerabilidad de seguridad.

El cifrado de extremo a extremo que examinaron los investigadores, cuya implementación es costosa, se utiliza con mayor frecuencia en radios de agencias policiales, fuerzas especiales y equipos militares y de inteligencia encubiertos que participan en labores de seguridad nacional y, por lo tanto, requieren una capa adicional de seguridad. Sin embargo, la aprobación del algoritmo por parte del ETSI hace dos años para mitigar las fallas detectadas en su algoritmo de cifrado de bajo nivel sugiere que su uso podría ser más extendido ahora que en aquel entonces.

En 2023, Carlo Meijer, Wouter Bokslag y Jos Wetzels, de la firma de seguridad Midnight Blue , con sede en los Países Bajos, descubrieron vulnerabilidades en algoritmos de cifrado que forman parte de un estándar de radio europeo creado por el ETSI llamado TETRA (Terrestrial Trunked Radio), integrado en sistemas de radio de Motorola, Damm, Sepura y otras empresas desde la década de 1990. Las fallas permanecieron desconocidas públicamente hasta su divulgación, ya que el ETSI se negó durante décadas a permitir que nadie examinara los algoritmos propietarios. El cifrado de extremo a extremo que los investigadores examinaron recientemente está diseñado para ejecutarse sobre algoritmos de cifrado TETRA.

Los investigadores detectaron el problema con el cifrado de extremo a extremo (E2EE) solo tras extraer y aplicar ingeniería inversa al algoritmo E2EE utilizado en una radio fabricada por Sepura. Los investigadores planean presentar sus hallazgos hoy en la conferencia de seguridad BlackHat en Las Vegas.

Al ser contactado sobre el tema, el ETSI señaló que el cifrado de extremo a extremo utilizado con radios basadas en TETRA no forma parte del estándar ETSI ni fue creado por la organización. En cambio, fue producido por el grupo de seguridad y prevención del fraude (SFPG) de la Asociación de Comunicaciones Críticas (TCCA). Sin embargo, el ETSI y la TCCA colaboran estrechamente, y ambas organizaciones incluyen a muchas de las mismas personas. Brian Murgatroyd, expresidente del organismo técnico del ETSI responsable del estándar TETRA, así como del grupo TCCA que desarrolló la solución E2EE, escribió en un correo electrónico en nombre del ETSI y la TCCA que el cifrado de extremo a extremo no se incluyó en el estándar ETSI "porque en ese momento se consideró que E2EE solo sería utilizado por grupos gubernamentales con preocupaciones de seguridad nacional, y estos grupos a menudo tienen necesidades de seguridad especiales".

Por esta razón, Murgatroyd señaló que los compradores de radios basados en TETRA tienen la libertad de implementar otras soluciones de cifrado de extremo a extremo en sus radios, pero reconoce que la producida por TCCA y avalada por ETSI "es ampliamente utilizada hasta donde sabemos".

Aunque la policía y el ejército de Estados Unidos no utilizan dispositivos de radio basados en TETRA, la mayoría de las fuerzas policiales del mundo sí los utilizan. Entre ellas se incluyen las fuerzas policiales de Bélgica y los países escandinavos, así como las de países de Europa del Este como Serbia, Moldavia, Bulgaria y Macedonia del Norte, y las de Oriente Medio, como las de Irán, Irak, Líbano y Siria. Los Ministerios de Defensa de Bulgaria, Kazajistán y Siria también los utilizan, al igual que la agencia de contrainteligencia militar polaca, las fuerzas de defensa finlandesas y los servicios de inteligencia de Líbano y Arabia Saudí. Sin embargo, no está claro cuántos de estos países implementan el descifrado de extremo a extremo en sus radios.

El estándar TETRA incluye cuatro algoritmos de cifrado (TEA1, TEA2, TEA3 y TEA4) que los fabricantes de radios pueden utilizar en diferentes productos, según el cliente y el uso previstos. Los algoritmos tienen distintos niveles de seguridad en función de si las radios se venderán dentro o fuera de Europa. TEA2, por ejemplo, está restringido para su uso en radios utilizadas por la policía, los servicios de emergencia, el ejército y las agencias de inteligencia en Europa. TEA3 está disponible para radios de policía y servicios de emergencia utilizadas fuera de Europa, pero solo en países considerados "amigos" de la UE. Solo TEA1 está disponible para radios utilizadas por agencias de seguridad pública, agencias policiales y ejércitos en países considerados no amigos de Europa, como Irán. Pero también se utiliza en infraestructuras críticas en EE. UU. y otros países para la comunicación máquina a máquina en entornos de control industrial, como oleoductos, ferrocarriles y redes eléctricas.

Los cuatro algoritmos de cifrado TETRA utilizan claves de 80 bits para proteger la comunicación. Sin embargo, investigadores holandeses revelaron en 2023 que TEA1 tiene una función que reduce su clave a tan solo 32 bits, lo que les permitió descifrarla en menos de un minuto.

En el caso del E2EE, los investigadores descubrieron que la implementación examinada parte de una clave más segura que las utilizadas en los algoritmos TETRA, pero esta se reduce a 56 bits, lo que potencialmente permitiría descifrar las comunicaciones de voz y datos. También encontraron una segunda vulnerabilidad que permitiría enviar mensajes fraudulentos o reproducir mensajes legítimos para difundir información errónea o confundir al personal que utiliza las radios.

Según los investigadores, la capacidad de inyectar tráfico de voz y reproducir mensajes afecta a todos los usuarios del esquema de cifrado de extremo a extremo TCCA. Afirman que esto se debe a fallos en el diseño del protocolo E2EE de TCCA, más que a una implementación específica. También afirman que usuarios finales de las fuerzas del orden les han confirmado que esta falla se encuentra en radios de otros fabricantes.

Pero los investigadores dicen que es probable que sólo un subconjunto de usuarios de cifrado de extremo a extremo se vean afectados por la vulnerabilidad de clave reducida porque depende de cómo se implementó el cifrado en las radios vendidas a varios países.

Murgatroyd, del ETSI , declaró en 2023 que la clave TEA1 se redujo para cumplir con los controles de exportación del cifrado vendido a clientes fuera de Europa. Explicó que, cuando se creó el algoritmo, una clave con 32 bits de entropía se consideraba segura para la mayoría de los usos. Los avances en la capacidad de procesamiento la hacen menos segura ahora, por lo que, cuando los investigadores holandeses expusieron la clave reducida hace dos años, el ETSI recomendó que los clientes que utilizan TEA1 implementen la solución de cifrado de extremo a extremo de TCCA.

Pero Murgatroyd afirmó que el algoritmo de cifrado de extremo a extremo diseñado por TCCA es diferente. No especifica la longitud de clave que deben usar las radios, ya que los gobiernos que utilizan el cifrado de extremo a extremo tienen sus propias normas de seguridad específicas, y a menudo propietarias, para los dispositivos que utilizan. Por lo tanto, pueden personalizar el algoritmo de cifrado de TCCA en sus dispositivos colaborando con su proveedor de radio para seleccionar el algoritmo de cifrado, la gestión de claves, etc., que les resulte adecuado, pero solo hasta cierto punto.

“La elección del algoritmo y la clave de cifrado se realiza entre el proveedor y la organización del cliente, y el ETSI no participa en esta selección, ni tiene conocimiento de qué algoritmos y longitudes de clave se utilizan en cada sistema”, afirmó. Sin embargo, añadió que los fabricantes y clientes de radios “siempre deberán cumplir con las regulaciones de control de exportaciones”.

Los investigadores afirman que no pueden verificar que el sistema E2EE de TCCA no especifique una longitud de clave, ya que la documentación de TCCA que describe la solución está protegida por un acuerdo de confidencialidad y se proporciona únicamente a los proveedores de radio. Sin embargo, señalan que el sistema E2EE indica un número de "identificador de algoritmo", lo que significa que indica el algoritmo específico que utiliza para el cifrado de extremo a extremo. Estos identificadores no son específicos del proveedor, según los investigadores, lo que sugiere que se refieren a diferentes variantes de clave producidas por TCCA. Esto significa que TCCA proporciona especificaciones para algoritmos que utilizan una clave de 126 bits o de 56 bits, y los proveedores de radio pueden configurar sus dispositivos para utilizar cualquiera de estas variantes, según los controles de exportación vigentes en el país comprador.

No está claro si los usuarios saben que sus radios podrían tener esta vulnerabilidad. Los investigadores encontraron un boletín confidencial de producto Sepura de 2006, filtrado en línea , que menciona que «la longitud de la clave de tráfico está sujeta a las regulaciones de control de exportaciones y, por lo tanto, el sistema de cifrado del dispositivo estará configurado de fábrica para admitir longitudes de clave de 128, 64 o 56 bits». Sin embargo, no está claro qué reciben los clientes de Sepura ni si otros fabricantes, cuyas radios utilizan una clave reducida, informan a sus clientes si sus radios utilizan un algoritmo de clave reducida.

“Algunos fabricantes lo incluyen en sus folletos; otros solo lo mencionan en sus comunicaciones internas, y otros ni siquiera lo mencionan”, afirma Wetzels. Afirma que realizaron una investigación exhaustiva de código abierto para examinar la documentación de los proveedores y “no encontraron ninguna señal clara de debilitamiento que se comunicara a los usuarios finales. Así que, si bien hay 'algunas' menciones sobre el debilitamiento del algoritmo, no es del todo transparente”.

Sepura no respondió a una consulta de WIRED.

Pero Murgatroyd dice que debido a que los clientes gubernamentales que han optado por utilizar la solución E2EE de TCCA necesitan conocer la seguridad de sus dispositivos, es probable que sepan si sus sistemas están usando una clave reducida.

“Dado que el cifrado de extremo a extremo se utiliza principalmente para las comunicaciones gubernamentales, esperaríamos que las agencias gubernamentales de seguridad nacional pertinentes sean plenamente conscientes de las capacidades de sus sistemas de cifrado de extremo a extremo y puedan asesorar adecuadamente a sus usuarios”, escribió Murgatroyd en su correo electrónico.

Sin embargo, Wetzels se muestra escéptico al respecto. «Consideramos muy improbable que los gobiernos no occidentales estén dispuestos a gastar literalmente millones de dólares si saben que solo obtendrán 56 bits de seguridad», afirma.