Salt Typhoon: por que la ciberseguridad telecom pasa por el diagnostico de campo
El FBI confirma que Salt Typhoon sigue activo en las redes telecom. El analisis de campo Layer 3 se convierte en linea de defensa. Senalizacion, anomalias, IMSI catchers: lo que revela el diagnostico de red.
El FBI acaba de confirmar lo que los equipos de seguridad de los operadores temian: el grupo chino Salt Typhoon sigue “muy activo” en las infraestructuras telecom mundiales. Tras las compromisiones masivas documentadas en Estados Unidos a finales de 2025, la amenaza no ha retrocedido. Se ha extendido.
Esto ya no es un incidente aislado. Es un estado permanente.
Lo que Salt Typhoon revela sobre la fragilidad de las redes
Vulnerabilidades basicas, no sofisticadas
El detalle mas preocupante de los informes del FBI y Kaspersky no es la sofisticacion del ataque. Es su simplicidad. Las redes telecom estan plagadas de vulnerabilidades basicas: configuraciones por defecto sin modificar, interfaces de administracion expuestas, protocolos de senalizacion SS7/Diameter sin proteccion adecuada.
Salt Typhoon no necesito zero-days para penetrar las redes de nueve operadores estadounidenses. Exploto fallas conocidas, documentadas y no corregidas.
| Indicador | Valor | Fuente |
|---|---|---|
| Operadores estadounidenses comprometidos | 9 confirmados | FBI, marzo 2026 |
| Mercado ciberseguridad telecom (2029) | 56.770 millones USD | Business Research Co. |
| CAGR ciberseguridad telecom | 12,2% | Business Research Co. |
| Victimas de spoofing telefonico en Francia | 43% de consumidores | ARCEP 2026 |
La senalizacion: el punto debil de las redes
El ataque Salt Typhoon apunta principalmente a la capa de senalizacion. Los protocolos SS7 (2G/3G) y Diameter (4G/5G) transportan los mensajes de control de la red: autenticacion, localizacion, enrutamiento de llamadas, intercepcion legal.
Un atacante que controla la senalizacion puede:
- Interceptar comunicaciones sin que el usuario ni el operador lo detecten
- Localizar a cualquier abonado en tiempo real mediante consultas HLR/HSS
- Redirigir trafico hacia pasarelas controladas
- Evadir la autenticacion 2FA basada en SMS
Y estos ataques no dejan practicamente ninguna traza en los sistemas de monitorizacion clasicos (NOC, OSS/BSS). Porque los sistemas de monitorizacion miran los KPIs de rendimiento. No las anomalias de senalizacion.
El diagnostico de campo como primera linea de defensa
Lo que los Layer 3 revelan
El analisis de los mensajes protocolarios RRC (Radio Resource Control) y NAS (Non-Access Stratum) en tiempo real, directamente en el campo, permite detectar anomalias invisibles para los sistemas centralizados:
1. Comportamientos de reseleccion de celda anormales
Un IMSI catcher fuerza al terminal a conectarse a una estacion base falsa. El Layer 3 revela este comportamiento: reselecciones de celda hacia un PCI (Physical Cell Identity) desconocido, con parametros de difusion (SIB) incoherentes respecto a las celdas legitimas de la red.
2. Rechazos de autenticacion sospechosos
Los ataques de downgrade fuerzan al terminal de 5G/4G hacia 2G (donde la senalizacion no esta cifrada). La decodificacion NAS muestra los mensajes de rechazo y redireccion inter-RAT que no tienen justificacion operativa.
3. Mensajes OTA (Over-The-Air) no solicitados
La falla eSIM recientemente descubierta (CVSS 9.1) explota mensajes OTA via SMS para clonar perfiles eUICC. El Layer 3 captura estos mensajes y permite identificar intentos de explotacion.
4. Mediciones RF incoherentes
Un sitio comprometido o un equipo rogue genera un perfil RF atipico: potencia de emision anormal, parametros de celda no conformes al plan radio, timing advance incoherente con la posicion geografica.
La ventaja del smartphone sobre el escaner RF
Los escaneres RF tradicionales (R&S TSMA, Keysight Nemo) miden el espectro. Ven las senales. Pero no decodifican los protocolos en tiempo real.
Una herramienta de diagnostico Android equipada con un decodificador Layer 3 nativo via chipset Qualcomm DIAG hace ambas cosas: mide el RF y decodifica la senalizacion. En tiempo real. En el campo. Sin equipamiento adicional de 50.000 euros.
Metodologia de auditoria de campo de seguridad
Fase 1: Baseline
- Cartografiar los PCI, EARFCN/NR-ARFCN y parametros SIB de todas las celdas de la red en la zona objetivo
- Registrar las secuencias de autenticacion normales
- Documentar los handovers inter-frecuencia e inter-RAT legitimos
Fase 2: Deteccion de anomalias
- Identificar cualquier PCI no registrado en el plan radio del operador
- Detectar intentos de downgrade inter-RAT no justificados por el nivel RF
- Capturar mensajes NAS de tipo Tracking Area Reject, Attach Reject con causas inusuales
- Medir desviaciones de timing advance respecto a la posicion GPS
Fase 3: Analisis post-captura
- Correlacionar las capturas Layer 3 con los logs del nucleo de red
- Identificar patrones recurrentes
- Generar un informe de anomalias georreferenciadas explotable por los equipos SOC
Lo que cambia despues de Salt Typhoon
La industria telecom esta en un punto de inflexion en seguridad:
- Los presupuestos de seguridad telecom se disparan: 56.770 millones USD para 2029
- Los reguladores endurecen las exigencias: el Digital Networks Act europeo integra un plan de preparedness de seguridad a nivel continental
- Las auditorias de campo se vuelven obligatorias: los operadores deben ir mas alla del monitorizacion centralizado
- La senalizacion se convierte en un KPI de seguridad: el Layer 3 entra en el perimetro de la ciberseguridad
El diagnostico de campo ya no es una herramienta de optimizacion de red. Es una herramienta de defensa.
La seguridad de las redes telecom no se mide unicamente en un NOC. Se verifica en el campo, celda por celda, mensaje por mensaje.
Fundadora de HiCellTek. +15 años en telecomunicaciones, lado operador, lado fabricante, lado campo. Construyendo la herramienta de campo que los ingenieros RF merecen.
Solicita una demostración personalizada de HiCellTek, diagnóstico de red 2G/3G/4G/5G en Android.