En septiembre de 2025, el segundo mayor proveedor de telecomunicaciones de Corea, KT Corporation, reveló un sofisticado ciberataque que comprometió los sistemas de pago por móvil de278 clientes, con el resultado de ₩170 millones (122.400 $) en transacciones no autorizadas. Aunque las pérdidas económicas parecen relativamente contenidas, la sofisticación técnica del ataque y su novedosa metodología exponen vulnerabilidades catastróficas en los sistemas de autenticación basados en las telecomunicaciones de los que miles de millones dependen a diario. Este incidente, que se produce sólo unos meses después de la brecha de SK Telecom que afectó a 27 millones de usuarios, demuestra que la autenticación basada en teléfonos móviles se ha convertido en una responsabilidad de seguridad sistémica que exige la sustitución inmediata por alternativas descentralizadas.
El ataque a las femtoceldas de KT representa un nuevo vector de amenaza
El incidente de KT marca el primer caso documentado de ataques ilegales a femtoceldas en Corea del Sur, introduciendo un vector de ataque terriblemente accesible que elude las medidas de seguridad tradicionales. Entre el 6 de agosto y el 8 de septiembre de 2025, los atacantes desplegaron femtoceldas modificadas -pequeñas estaciones base celulares utilizadas habitualmente para aumentar la cobertura en interiores- para interceptar y comprometer los procesos de autenticación de los usuarios.
El mecanismo técnico resultó devastadoramente eficaz. Los atacantes adquirieron dispositivos de femtocélulas estándar por unos ₩3 millones (2.200 dólares) a través de mercados secundarios, y luego modificaron el firmware para eludir los protocolos de autenticación de las operadoras. Una vez conectadas a la red de KT, estas estaciones base falsas capturaban automáticamente los dispositivos móviles en un radio de 10 metros. Cuando los teléfonos de las víctimas se conectaban a lo que parecía ser la señal más potente disponible, las femtoceldas comprometidas interceptaban los números IMSI (Identidad Internacional de Abonado Móvil) de 5.561 clientes y los códigos de autenticación de los SMS en texto plano tras el descifrado interno.
Kim Yong-dae, profesor del KAIST, explicó la vulnerabilidad: «Aunque las comunicaciones móviles se cifran del teléfono a la femtocelda, ésta descifra los mensajes internamente. Si los hackers controlan esta femtocelda, pueden interceptar los mensajes y robar información personal en tiempo real». Los atacantes concentraron sus esfuerzos en el área metropolitana de Seúl y en la provincia de Gyeonggi, principalmente durante las primeras horas de la mañana, cuando era poco probable que las víctimas se percataran de las transacciones no autorizadas. Vaciaron sistemáticamente las cuentas mediante compras de certificados de regalo por móvil y recargas de tarjetas de tránsito, aprovechando el sistema de micropagos de KT que se basaba únicamente en la verificación por SMS para la autenticación.
Lo que hace que este ataque sea especialmente preocupante es su accesibilidad. A diferencia de las sofisticadas operaciones de los estados-nación que requieren amenazas persistentes avanzadas o exploits de día cero, el ataque a las femtoceldas utilizó hardware fácilmente disponible y conocimientos técnicos básicos. El profesor Lim Jong-in, de la Universidad de Corea, señaló que si las femtoceldas se han visto comprometidas con tanta facilidad, esto sugiere «posibles fallos de control interno» y plantea interrogantes sobre la implicación de personas con información privilegiada o la inadecuación de los protocolos de seguridad de los equipos de telecomunicaciones.
Las telecomunicaciones coreanas se enfrentan a una epidemia de violaciones de la autenticación
El incidente de KT no es más que el último capítulo de la actual crisis de seguridad de las telecomunicaciones en Corea del Sur. El patrón de violaciones revela vulnerabilidades sistémicas que han persistido durante más de una década, y cada incidente expone debilidades de autenticación cada vez más graves.
La brecha de SK Telecom de abril de 2025 es potencialmente el fallo de seguridad en telecomunicaciones más catastrófico de la historia de Corea. Los atacantes mantuvieron el acceso sin ser detectados durante casi tres años (de junio de 2022 a abril de 2025), comprometiendo a toda la base de clientes de 27 millones de usuarios. Utilizando variantes del malware BPFDoor en 28 servidores infectados, los actores de la amenaza -sospechosos de ser grupos APT chinos, como Red Mansion, Weaver Ant y Salt Typhoon- extrajeron números IMSI, claves de autenticación USIM y 25 categorías de información sobre abonados. La sofisticación y persistencia de la brecha provocó una inversión de 700.000 millones de yenes para remediarla y desencadenó revisiones de seguridad en todo el país.
Los incidentes históricos revelan un patrón preocupante. KT sufrió violaciones importantes en 2012 (8,7 millones de clientes), 2014 (12 millones de clientes, que representan el 75% de su base de usuarios) y 2016. LG U+ sufrió una brecha importante en 2023, que afectó a 300.000 clientes y le supuso una multa de 6.800 millones de yenes, después de que los investigadores descubrieran contraseñas de administrador de bases de datos configuradas como «admin» y controles de acceso inadecuados. La brecha multioperador de 2014 comprometió simultáneamente a los tres principales operadores -SKT, KT y LG U+-, afectando a 12,3 millones de registros en total y demostrando ataques coordinados en todo el sector.
Estos incidentes comparten características comunes: acceso prolongado no detectado, explotación de vulnerabilidades del sistema de autenticación, exposición masiva de datos, incluidas las credenciales de autenticación, y retraso en la detección y notificación por parte de los proveedores de telecomunicaciones. El carácter recurrente en todos los grandes operadores indica que el problema va más allá de los fallos individuales de las empresas y abarca vulnerabilidades estructurales de la arquitectura de autenticación en todo el sector.
Los sistemas de autenticación móvil contienen vulnerabilidades inherentes
La arquitectura técnica subyacente a la autenticación basada en teléfonos móviles crea múltiples superficies de ataque que los adversarios sofisticados explotan rutinariamente. En el núcleo de estas vulnerabilidades se encuentra el protocolo SS7 (Sistema de Señalización 7)una norma mundial de señalización de telecomunicaciones de los años 70 que carece de autenticación y cifrado por diseño. La evaluación del Departamento de Seguridad Nacional de EE.UU. es contundente: «El DHS cree que todos los operadores de EE.UU. son vulnerables a los exploits [SS7 y Diameter], lo que supone riesgos para la seguridad nacional, la economía y la capacidad del Gobierno Federal para ejecutar de forma fiable las funciones nacionales esenciales».
Las vulnerabilidades del SS7 permiten ataques devastadores, como el seguimiento de la ubicación en tiempo real, la interceptación por SMS de contraseñas de un solo uso, la interceptación y escucha de llamadas, los ataques de denegación de servicio y el fraude de abonados mediante la manipulación de la facturación. El acceso a las redes SS7, disponible por entre 150 y 2.500 dólares en los mercados de la web oscura, proporciona a los atacantes capacidades antes reservadas a las agencias de inteligencia. Los ataques bancarios alemanes de 2017, en los que los delincuentes vaciaron cuentas utilizando vulnerabilidades del SS7, demostraron que no se trata de riesgos teóricos, sino de puntos débiles explotados activamente.
El intercambio de SIM representa otra vulnerabilidad crítica en la autenticación móvil. Una investigación de la Universidad de Princeton descubrió que «cuatro de cada cinco intentos de intercambio de SIM en Estados Unidos tienen éxito», y que 17 de los principales sitios web, como PayPal, Venmo y Amazon, siguen siendo vulnerables al ataque sólo mediante el intercambio de SIM. La sencillez del ataque -ingeniería social en el servicio de atención al cliente de la operadora para transferir el número de la víctima a una SIM controlada por el atacante- desmiente su eficacia. En 2022, 40 clientes de KT perdieron ₩270 millones en criptomoneda mediante ataques de intercambio de SIM, lo que pone de manifiesto el impacto financiero directo.
Los exploits de procesadores de banda base añaden otra capa de vulnerabilidad. Estos procesadores independientes que gestionan las comunicaciones celulares están significativamente menos reforzados que los procesadores de aplicaciones, lo que crea oportunidades para la ejecución remota de código a través de paquetes de red malformados. Los investigadores de seguridad de Mobile Pwn2Own demostraron vulnerabilidades de la banda base por valor de 100.000 dólares de recompensa, demostrando que los atacantes sofisticados pueden eludir por completo la seguridad a nivel de aplicación mediante el acceso a la red de nivel inferior.
Las implementaciones específicas coreanas agravan estas vulnerabilidades. El sistema 본인인증 (verificación de identidad), obligatorio para los servicios en línea, se integra directamente con los operadores de telecomunicaciones y se basa en gran medida en la verificación por SMS. El sistema de micropagos permite transacciones de hasta ₩1 millón mensual para adultos, autenticadas principalmente mediante códigos SMS y PIN sencillos. Esta dependencia excesiva de la infraestructura de telecomunicaciones para la autenticación crítica crea puntos de fallo en cascada cuando las operadoras se ven comprometidas.
La autenticación centralizada crea puntos únicos de fallo catastróficos
El fallo fundamental de la autenticación basada en las telecomunicaciones va más allá de las vulnerabilidades técnicas y afecta a los problemas arquitectónicos inherentes a los sistemas centralizados. La investigación académica identifica sistemáticamente la autenticación centralizada como creadora de peligrosos puntos únicos de fallo. Como señala la investigación de la Biblioteca Digital ACM «La confianza centralizada y la gestión centralizada de identidades que se utilizan habitualmente hacen que los sistemas de información y las organizaciones sean propensos a un punto único de fallo».
La campaña Salt Typhoon ejemplifica cómo la infraestructura de telecomunicaciones centralizada se convierte en un objetivo estratégico para los actores de un Estado-nación. Esta campaña, que el senador Mark Warner calificó de «el peor pirateo de telecomunicaciones de la historia de nuestro país», que hace que «Colonial Pipeline y SolarWinds parezcan un juego de niños», comprometió al menos a nueve empresas de telecomunicaciones estadounidenses, entre ellas Verizon, AT&T y T-Mobile. Activos durante 1-2 años antes de ser detectados, los atacantes accedieron a sistemas de interceptación legal diseñados para la vigilancia gubernamental, creando irónicamente vectores de ataque perfectos para adversarios extranjeros.
Las directrices oficiales del NIST reconocen explícitamente estos riesgos. NIST SP 800-53 Control CP-8(2) afirma que las organizaciones deben «obtener servicios de telecomunicaciones alternativos para reducir la probabilidad de compartir un único punto de fallo con los servicios de telecomunicaciones primarios». La orientación reconoce que los proveedores de telecomunicaciones a menudo comparten infraestructura física, lo que multiplica la exposición a la vulnerabilidad en sistemas aparentemente independientes.
Los análisis del sector revelan patrones coherentes en los fallos de los sistemas centralizados. Cuando la autenticación depende de una infraestructura centralizada, el compromiso del servidor afecta a todos los sistemas conectados simultáneamente. Las interrupciones de la red crean fallos de autenticación en poblaciones enteras de usuarios. Las violaciones de bases de datos exponen las credenciales de millones de usuarios a la vez, como demostró el incidente de SKT con 27 millones de víctimas. Los cuellos de botella en el rendimiento surgen al gestionar las solicitudes de autenticación a escala, creando riesgos tanto de seguridad como de disponibilidad.
El contraste con los sistemas descentralizados es sorprendente. La investigación del IEEE sobre autenticación distribuida señala: «Como la autenticación está repartida, el fallo de un servidor no afecta a todos los usuarios. Los sistemas pueden escalar independientemente, gestionando más usuarios o solicitudes sin abrumar a un servidor central. Comprometer un servidor no pone necesariamente en peligro toda la red». Esta ventaja arquitectónica no es teórica: es la base de las normas de autenticación emergentes que eliminan por completo las dependencias de las telecomunicaciones.
El consenso de los expertos exige abandonar la autenticación basada en SMS
Los expertos en seguridad de todo el mundo han alcanzado un consenso abrumador: hay que abandonar la autenticación basada en las telecomunicaciones. Tras los ataques del Tifón Salado, la CISA publicó unas directrices sin precedentes en las que recomendaba explícitamente la migración «lejos de los canales de mensajería SMS y de voz» y aconsejaba el uso de aplicaciones de mensajería cifrada en lugar de las telecomunicaciones tradicionales. Esto representa un cambio fundamental en la postura del gobierno, que reconoce que la autenticación basada en SMS no puede asegurarse adecuadamente.
Bruce Schneier documentó el intento del NIST de eliminar la autenticación por SMS, señalando que, aunque la presión del sector obligó a suavizar la postura, «las preocupaciones de seguridad subyacentes siguen siendo válidas». La investigación valida estas preocupaciones: Forrester descubrió que «la 2FA por SMS sólo detiene el 76% de los ataques», lo que deja casi una cuarta parte de los intentos de autenticación vulnerables al compromiso.
El estudio de la Universidad de Princeton que realizó ingeniería inversa de las políticas de autenticación en 140 sitios web proporciona pruebas empíricas de la vulnerabilidad generalizada. Su descubrimiento de que las principales plataformas, incluidas PayPal y Amazon, siguen siendo vulnerables a los ataques de intercambio de SIM «en su configuración por defecto», demuestra que incluso las empresas tecnológicas más sofisticadas tienen dificultades para mitigar los riesgos de autenticación basados en las telecomunicaciones.
Los expertos del sector financiero lanzan advertencias especialmente urgentes. Marcus Fowler, director general de Darktrace Federal, explica: «El sector de las telecomunicaciones es especialmente vulnerable a los ciberataques, dada la constante presión del sector para incorporar nuevos proveedores… esos proveedores externos añadidos crean un riesgo de seguridad cada vez mayor». Ayan Halder, de Traceable, señala que «los ataques basados en las telecomunicaciones, como el fraude de peaje por SMS y el secuestro de 2FA, se han convertido en una preocupación generalizada para los responsables de la seguridad de la información.»
Las principales empresas tecnológicas están votando con sus implementaciones. Microsoft se ha alejado totalmente de la 2FA basada en SMS, promoviendo «tecnologías sin contraseña como Windows Hello para ordenadores de sobremesa o la aplicación Microsoft Authenticator para dispositivos móviles». Google también ha dejado de lado los SMS en favor de las claves de seguridad de hardware y la autenticación basada en aplicaciones. Estos cambios de los líderes del sector indican que la autenticación por SMS ha llegado al final de su vida útil para las organizaciones preocupadas por la seguridad.
La autenticación descentralizada elimina las dependencias de las telecomunicaciones
El camino a seguir requiere un cambio arquitectónico fundamental: pasar de sistemas centralizados y dependientes de las telecomunicaciones a alternativas descentralizadas y seguras desde el punto de vista criptográfico. SNAPPASS de ANDOPEN representa un enfoque convincente, habiendo ganado el Premio a la Innovación CES 2025 por su sistema de autenticación biométrica sin red.
SNAPPASS se basa en un principio revolucionario: total independencia de la red. El sistema se compone de tarjetas SNAPPIN que contienen datos biométricos encriptados y optimizados por la IA que no pueden modificarse a distancia, y de hardware de autenticación SNAPCHECK con detección de falsificación profunda y de vitalidad basada en la IA. La autenticación se produce totalmente fuera de línea entre la tarjeta del usuario y el lector, procesando hasta 60 autenticaciones por minuto sin ninguna conectividad de red. Los datos biométricos nunca entran en bases de datos centralizadas y se descartan inmediatamente después de cada intento de autenticación.
Esta arquitectura aborda todas las principales vulnerabilidades de los sistemas basados en telecomunicaciones. Sin transmisión de red, no hay posibilidad de interceptación de SMS ni de ataques SS7. Los requisitos de posesión física impiden el compromiso remoto. El procesamiento local elimina los puntos únicos de fallo. La arquitectura distribuida garantiza que comprometer una ubicación no afecte a las demás. El componente biométrico añade una autenticación fuerte que no puede ser manipulada socialmente ni intercambiada como las tarjetas SIM.
El ecosistema más amplio de soluciones de autenticación descentralizada demuestra que el mercado está preparado para esta transición. El mercado de la identidad descentralizada está experimentando un crecimiento explosivo, de 647,80 millones de dólares en 2022 a una previsión de 41.730 millones de dólares en 2030, lo que representa hasta un 90,3% de CAGR. Los sistemas basados en blockchain, como Entra Verified ID de Microsoft, utilizan identificadores descentralizados (DID) estándar del W3C para dar a los usuarios el control sobre sus credenciales. Las claves de seguridad de hardware que siguen las normas FIDO2/WebAuthn proporcionan una autenticación resistente al phishing sin dependencias de las telecomunicaciones.
La investigación académica valida estos enfoques. Nature Scientific Reports publicó estudios que demuestran que la autenticación basada en blockchain «aprovecha las tarjetas de identidad electrónicas emitidas por el gobierno para generar firmas digitales y emplea contratos inteligentes para automatizar el proceso de autenticación», eliminando los requisitos de infraestructura de telecomunicaciones y manteniendo al mismo tiempo la seguridad y la facilidad de uso.
La era de la autentificación de las telecomunicaciones debe terminar ya
El ataque a los micropagos de KT, aunque modesto desde el punto de vista financiero, representa un momento decisivo en la seguridad de la autenticación. El uso en el ataque de hardware de femtoceldas fácilmente disponible para comprometer los sistemas de autenticación demuestra que la seguridad basada en las telecomunicaciones se ha vuelto trivialmente derrotable. Cuando se combina con la brecha de SK Telecom, que afectó a 27 millones de usuarios, y con las vulnerabilidades persistentes en todo el sector, la evidencia se hace innegable: no se puede confiar en las redes de telecomunicaciones para la autenticación.
El consenso de los expertos es unánime. Agencias gubernamentales como CISA recomiendan explícitamente abandonar la autenticación SMS. La investigación académica demuestra fallos arquitectónicos fundamentales en los sistemas centralizados. Los investigadores de seguridad demuestran ataques exitosos con una regularidad aterradora. Las principales empresas tecnológicas ya han abandonado la autenticación dependiente de las telecomunicaciones. La cuestión ya no es si hay que abandonar la autenticación basada en SMS y telecomunicaciones, sino con qué rapidez pueden las organizaciones completar la transición.
Soluciones como SNAPPASS de ANDOPEN apuntan hacia un futuro en el que la autenticación funcione independientemente de la vulnerable infraestructura de telecomunicaciones. Al combinar la posesión física, la verificación biométrica y el funcionamiento sin red, estos sistemas eliminan categorías enteras de ataques, al tiempo que proporcionan una experiencia de usuario y una protección de la privacidad superiores. El crecimiento previsto del mercado de identidad descentralizada hasta los 41.730 millones de dólares en 2030 indica que las empresas reconocen este imperativo y están invirtiendo en consecuencia.
El incidente de KT debería servir como advertencia final. Las organizaciones que siguen confiando en los SMS y en la autenticación basada en las telecomunicaciones aceptan riesgos catastróficos que van más allá de sus posturas de seguridad individuales para amenazar las infraestructuras críticas y la seguridad nacional. Hoy en día existe la tecnología para eliminar por completo estas vulnerabilidades. La única pregunta que queda es si las organizaciones actuarán antes de convertirse en la próxima víctima de una brecha de autenticación totalmente evitable.
Para quienes deseen saber más sobre la transición a sistemas de autenticación descentralizados, SNAPPASS de ANDOPEN y otras soluciones similares sin red ofrecen alternativas inmediatas y aplicables que abordan las causas fundamentales de los fallos de autenticación en las telecomunicaciones. El tiempo de las mejoras graduales ha pasado: el futuro de la autenticación debe ser descentralizado, independiente de la red y criptográficamente seguro. El hackeo de KT nos ha mostrado las consecuencias del retraso. El camino a seguir está claro.
