Nel settembre 2025, il secondo fornitore di telecomunicazioni coreano KT Corporation ha reso noto un sofisticato attacco informatico che ha compromesso i sistemi di pagamento mobile di278 clienti, causando 170 milioni di euro (122.400 dollari) di transazioni non autorizzate. Sebbene le perdite finanziarie appaiano relativamente contenute, la sofisticazione tecnica e la metodologia innovativa dell’attacco espongono vulnerabilità catastrofiche nei sistemi di autenticazione basati sulle telecomunicazioni a cui miliardi di persone si affidano quotidianamente. Questo incidente, avvenuto pochi mesi dopo la violazione di SK Telecom che ha colpito 27 milioni di utenti, dimostra che l’autenticazione basata sui telefoni cellulari è diventata un problema di sicurezza sistemico che richiede una sostituzione immediata con alternative decentralizzate.
L’attacco alle femtocelle di KT rappresenta un nuovo vettore di minacce
L’incidente di KT segna il primo caso documentato di attacco illegale alle femtocelle in Corea del Sud, introducendo un vettore di attacco spaventosamente accessibile che aggira le misure di sicurezza tradizionali. Tra il 6 agosto e l’8 settembre 2025, gli aggressori hanno utilizzato femtocelle modificate – piccole stazioni base cellulari tipicamente utilizzate per aumentare la copertura interna – per intercettare e compromettere i processi di autenticazione degli utenti.
Il meccanismo tecnico si è rivelato devastante. Gli aggressori hanno acquistato dispositivi femtocellulari standard per circa ₩3 milioni (2.200 dollari) attraverso i mercati secondari, poi hanno modificato il firmware per aggirare i protocolli di autenticazione del vettore. Una volta connesse alla rete di KT, queste stazioni di base anomale catturavano automaticamente i dispositivi mobili nel loro raggio di 10 metri. Quando i telefoni delle vittime si connettevano a quello che sembrava essere il segnale più forte disponibile, le femtocelle compromesse intercettavano i numeri IMSI (International Mobile Subscriber Identity) di 5.561 clienti e i codici di autenticazione SMS in chiaro dopo una decodifica interna.
Il professore del KAIST Kim Yong-dae ha spiegato la vulnerabilità: “Mentre le comunicazioni mobili sono criptate dal telefono alla femtocella, la femtocella decifra i messaggi internamente. Se gli hacker controllano questa femtocella, possono intercettare i messaggi e rubare informazioni personali in tempo reale”. Gli aggressori hanno concentrato i loro sforzi nella metropoli di Seoul e nella provincia di Gyeonggi, principalmente nelle prime ore del mattino, quando è improbabile che le vittime si accorgano delle transazioni non autorizzate. Hanno sistematicamente prosciugato i conti attraverso acquisti di buoni regalo e ricariche di carte di transito, sfruttando il sistema di micropagamento di KT che si basa esclusivamente sulla verifica via SMS per l’autenticazione.
Ciò che rende questo attacco particolarmente preoccupante è la sua accessibilità. A differenza delle sofisticate operazioni degli Stati nazionali che richiedono minacce persistenti avanzate o exploit zero-day, l’attacco alle femtocelle ha utilizzato hardware facilmente reperibile e conoscenze tecniche di base. Il professore dell’Università di Corea Lim Jong-in ha osservato che se le femtocelle sono state compromesse con questa facilità, ciò suggerisce “potenziali carenze di controllo interno” e solleva dubbi sul coinvolgimento di persone interne o su protocolli di sicurezza inadeguati per le apparecchiature di telecomunicazione.
Le telecomunicazioni coreane devono affrontare un’epidemia di violazioni dell’autenticazione
L’incidente della KT rappresenta solo l’ultimo capitolo della crisi della sicurezza delle telecomunicazioni in Corea del Sud. Lo schema delle violazioni rivela vulnerabilità sistemiche che persistono da oltre un decennio, e ogni incidente mette in luce debolezze di autenticazione sempre più gravi.
La violazione di SK Telecom dell’aprile 2025 è potenzialmente la più catastrofica falla nella sicurezza delle telecomunicazioni nella storia della Corea. Gli aggressori hanno mantenuto l’accesso inosservato per quasi tre anni (dal giugno 2022 all’aprile 2025), compromettendo l’intera base clienti di 27 milioni di utenti. Utilizzando varianti del malware BPFDoor su 28 server infetti, gli attori delle minacce – che si sospetta siano gruppi APT cinesi come Red Mansion, Weaver Ant e Salt Typhoon – hanno estratto numeri IMSI, chiavi di autenticazione USIM e 25 categorie di informazioni sugli abbonati. La sofisticatezza e la persistenza della violazione hanno richiesto un investimento di 700 miliardi di euro per la bonifica e hanno dato il via a revisioni della sicurezza a livello nazionale.
Gli incidenti storici rivelano uno schema preoccupante. KT ha subito gravi violazioni nel 2012 (8,7 milioni di clienti), nel 2014 (12 milioni di clienti, pari al 75% della sua base di utenti) e nel 2016. LG U+ ha subito una violazione significativa nel 2023 che ha interessato 300.000 clienti e che ha comportato una multa di 6,8 miliardi di euro dopo che gli investigatori hanno scoperto password di amministratore del database impostate su “admin” e controlli di accesso inadeguati. La violazione multioperatore del 2014 ha compromesso simultaneamente tutti e tre i principali operatori – KT, KT e LG U+ – colpendo 12,3 milioni di record in totale e dimostrando attacchi coordinati in tutto il settore.
Questi incidenti hanno caratteristiche comuni: accesso prolungato e non rilevato, sfruttamento delle vulnerabilità del sistema di autenticazione, esposizione massiccia dei dati, comprese le credenziali di autenticazione, e ritardi nel rilevamento e nella segnalazione da parte dei fornitori di telecomunicazioni. La natura ricorrente di tutti i principali operatori indica che il problema va oltre i fallimenti delle singole aziende e comprende le vulnerabilità strutturali dell’architettura di autenticazione dell’intero settore.
I sistemi di autenticazione mobile contengono vulnerabilità intrinseche
L’architettura tecnica alla base dell’autenticazione basata sui telefoni cellulari crea molteplici superfici di attacco che gli avversari più sofisticati sfruttano abitualmente. Al centro di queste vulnerabilità c’è il protocollo protocollo SS7 (Signaling System 7), uno standard globale di segnalazione delle telecomunicazioni risalente agli anni ’70 che non prevede l’autenticazione e la crittografia. La valutazione del Dipartimento della Sicurezza Nazionale degli Stati Uniti è netta: “Il DHS ritiene che tutti i vettori statunitensi siano vulnerabili agli exploit di [SS7 e Diameter], con conseguenti rischi per la sicurezza nazionale, l’economia e la capacità del governo federale di eseguire in modo affidabile le funzioni nazionali essenziali”.
Le vulnerabilità dell’SS7 consentono attacchi devastanti, tra cui il tracciamento della posizione in tempo reale, l’intercettazione di SMS con password monouso, l’intercettazione e l’intercettazione delle chiamate, gli attacchi denial of service e le frodi agli abbonati attraverso la manipolazione della fatturazione. L’accesso alle reti SS7, disponibile per 150-2.500 dollari sui mercati del dark web, offre agli aggressori capacità precedentemente riservate alle agenzie di intelligence. Gli attacchi bancari tedeschi del 2017, in cui i criminali hanno prosciugato i conti utilizzando le vulnerabilità dell’SS7, hanno dimostrato che non si tratta di rischi teorici ma di debolezze sfruttate attivamente.
Lo scambio di SIM rappresenta un’altra vulnerabilità critica nell’autenticazione mobile. Una ricerca dell’Università di Princeton ha rilevato che “quattro tentativi di scambio di SIM su cinque negli Stati Uniti vanno a buon fine” e 17 siti web importanti, tra cui PayPal, Venmo e Amazon, sono vulnerabili alla compromissione solo attraverso lo scambio di SIM. La semplicità dell’attacco – l’ingegneria sociale del servizio clienti dell’operatore per trasferire il numero della vittima a una SIM controllata dall’aggressore – ne smentisce l’efficacia. Nel 2022, 40 clienti KT hanno perso ₩270 milioni di criptovalute a causa di attacchi di SIM swap, evidenziando l’impatto finanziario diretto.
Gli exploit dei processori a banda base aggiungono un ulteriore livello di vulnerabilità. Questi processori separati che gestiscono le comunicazioni cellulari sono significativamente meno resistenti dei processori applicativi, creando opportunità di esecuzione di codice remoto attraverso pacchetti di rete malformati. I ricercatori di sicurezza del Mobile Pwn2Own hanno dimostrato compromissioni della banda base per un valore di 100.000 dollari, dimostrando che gli aggressori più sofisticati possono aggirare completamente la sicurezza a livello di applicazione attraverso un accesso alla rete di livello inferiore.
Le implementazioni specifiche della Corea aggravano queste vulnerabilità. Il sistema 본인인증 (verifica dell’identità), obbligatorio per i servizi online, si integra direttamente con gli operatori di telecomunicazioni e si basa molto sulla verifica via SMS. Il sistema di micropagamento consente transazioni fino a ₩1 milione al mese per gli adulti, autenticate principalmente tramite codici SMS e semplici PIN. Questa eccessiva dipendenza dalle infrastrutture di telecomunicazione per l’autenticazione critica crea punti di guasto a cascata quando i vettori vengono compromessi.
L’autenticazione centralizzata crea singoli punti di guasto catastrofici
Il difetto fondamentale dell’autenticazione basata sulle telecomunicazioni va oltre le vulnerabilità tecniche e si estende ai problemi architettonici inerenti ai sistemi centralizzati. La ricerca accademica identifica costantemente l’autenticazione centralizzata come un pericoloso punto di rottura. Come nota una ricerca della ACM Digital Library: “La fiducia centralizzata e la gestione centralizzata dell’identità comunemente utilizzate rendono i sistemi informativi e le organizzazioni inclini a un singolo punto di fallimento”.
La campagna Salt Typhoon esemplifica come l’infrastruttura di telecomunicazioni centralizzata diventi un obiettivo strategico per gli attori degli Stati nazionali. Questa campagna, che il senatore Mark Warner ha definito “il peggior hack di telecomunicazioni nella storia della nostra nazione” che fa sembrare “Colonial Pipeline e SolarWinds un gioco da ragazzi”, ha compromesso almeno nove società di telecomunicazioni statunitensi, tra cui Verizon, AT&T e T-Mobile. Attivi per 1-2 anni prima di essere scoperti, gli aggressori hanno avuto accesso ai sistemi di intercettazione legale progettati per la sorveglianza governativa, creando vettori di attacco ironicamente perfetti per gli avversari stranieri.
La guida ufficiale del NIST riconosce esplicitamente questi rischi. Il NIST SP 800-53 Control CP-8(2) afferma che le organizzazioni dovrebbero “ottenere servizi di telecomunicazione alternativi per ridurre la probabilità di condividere un singolo punto di guasto con i servizi di telecomunicazione primari”. La guida riconosce che i fornitori di telecomunicazioni spesso condividono l’infrastruttura fisica, moltiplicando l’esposizione alla vulnerabilità in sistemi apparentemente indipendenti.
L’analisi del settore rivela schemi coerenti nei fallimenti dei sistemi centralizzati. Quando l’autenticazione dipende da un’infrastruttura centralizzata, la compromissione del server ha un impatto simultaneo su tutti i sistemi collegati. Le interruzioni di rete creano malfunzionamenti nell’autenticazione di intere popolazioni di utenti. Le violazioni dei database espongono le credenziali di milioni di utenti contemporaneamente, come dimostrato dai 27 milioni di vittime dell’incidente SKT. I colli di bottiglia delle prestazioni emergono quando si gestiscono le richieste di autenticazione su scala, creando rischi sia per la sicurezza che per la disponibilità.
Il contrasto con i sistemi decentralizzati è sorprendente. Una ricerca dell’IEEE sull’autenticazione distribuita osserva che: “Poiché l’autenticazione è distribuita, il guasto di un server non si ripercuote su tutti gli utenti. I sistemi possono scalare in modo indipendente, gestendo un maggior numero di utenti o di richieste senza sovraccaricare un server centrale. La compromissione di un server non mette necessariamente a rischio l’intera rete”. Questo vantaggio architettonico non è teorico: è alla base degli standard di autenticazione emergenti che eliminano completamente le dipendenze dalle telecomunicazioni.
Il consenso degli esperti richiede l’abbandono dell’autenticazione via SMS
Gli esperti di sicurezza di tutto il mondo hanno raggiunto un consenso schiacciante: l’autenticazione basata sulle telecomunicazioni deve essere abbandonata. In seguito agli attacchi del tifone Salt, il CISA ha pubblicato una guida senza precedenti che raccomanda esplicitamente la migrazione “lontano dai canali di messaggistica SMS e vocale” e consiglia l’uso di app di messaggistica crittografate al posto delle telecomunicazioni tradizionali. Questo rappresenta un cambiamento fondamentale nella posizione del governo, che riconosce che l’autenticazione basata sugli SMS non può essere protetta in modo adeguato.
Bruce Schneier ha documentato il tentativo di deprezzamento dell’autenticazione via SMS da parte del NIST, osservando che, sebbene le pressioni del settore abbiano costretto ad ammorbidire la posizione, “i problemi di sicurezza sottostanti rimangono validi”. La ricerca convalida queste preoccupazioni: Forrester ha scoperto che “l’SMS 2FA blocca solo il 76% degli attacchi”, lasciando quasi un quarto dei tentativi di autenticazione vulnerabili alla compromissione.
Lo studio dell’Università di Princeton che ha analizzato al contrario le politiche di autenticazione di 140 siti web fornisce prove empiriche di una vulnerabilità diffusa. La scoperta che le principali piattaforme, tra cui PayPal e Amazon, rimangono vulnerabili agli attacchi SIM swap “nella loro configurazione di default” dimostra che anche le aziende tecnologiche più sofisticate faticano a mitigare i rischi di autenticazione basati sulle telecomunicazioni.
Gli esperti del settore finanziario lanciano un allarme particolarmente urgente. Marcus Fowler, CEO di Darktrace Federal, spiega: “Il settore delle telecomunicazioni è particolarmente vulnerabile ai cyberattacchi, data la costante pressione del settore per l’ingresso di nuovi fornitori… Questi fornitori terzi aggiunti creano un rischio crescente per la sicurezza”. Ayan Halder di Traceable osserva che “gli attacchi basati sulle telecomunicazioni, come le frodi via SMS e il dirottamento di 2FA, si sono evoluti fino a diventare una delle principali preoccupazioni dei responsabili della sicurezza informatica”.
Le principali aziende tecnologiche stanno votando per le loro implementazioni. Microsoft ha abbandonato completamente la 2FA basata su SMS, promuovendo “tecnologie senza password come Windows Hello per i desktop o l’app Microsoft Authenticator per i dispositivi mobili”. Anche Google ha abbandonato gli SMS a favore delle chiavi di sicurezza hardware e dell’autenticazione basata su app. Questi cambiamenti da parte dei leader del settore indicano che l’autenticazione via SMS ha raggiunto lo status di fine vita per le organizzazioni attente alla sicurezza.
L’autenticazione decentralizzata elimina le dipendenze dalle telecomunicazioni
La strada da percorrere richiede un cambiamento architettonico fondamentale: passare da sistemi centralizzati e dipendenti dalle telecomunicazioni ad alternative decentralizzate e protette dalla crittografia. SNAPPASS di ANDOPEN rappresenta un approccio convincente e ha vinto il CES Innovation Award 2025 per il suo sistema di autenticazione biometrica senza rete.
SNAPPASS opera secondo un principio rivoluzionario: la completa indipendenza dalla rete. Il sistema comprende le carte SNAPPIN, che contengono dati biometrici crittografati e ottimizzati per l’intelligenza artificiale che non possono essere modificati da remoto, e l’hardware di autenticazione SNAPCHECK, dotato di rilevamento di deepfake e liveness potenziato dall’intelligenza artificiale. L’autenticazione avviene interamente offline tra la carta dell’utente e il lettore, elaborando fino a 60 autenticazioni al minuto senza alcuna connettività di rete. I dati biometrici non entrano mai nei database centralizzati e vengono immediatamente scartati dopo ogni tentativo di autenticazione.
Questa architettura affronta tutte le principali vulnerabilità dei sistemi basati sulle telecomunicazioni. Senza trasmissione di rete, non c’è possibilità di intercettazione di SMS o di attacchi SS7. I requisiti di possesso fisico impediscono la compromissione a distanza. L’elaborazione locale elimina i singoli punti di guasto. L’architettura distribuita garantisce che la compromissione di una posizione non influisca sulle altre. La componente biometrica aggiunge un’autenticazione forte che non può essere manipolata socialmente o scambiata come le schede SIM.
Il più ampio ecosistema di soluzioni di autenticazione decentralizzate dimostra che il mercato è pronto per questa transizione. Il mercato dell’identità decentralizzata sta vivendo una crescita esplosiva, passando da 647,80 milioni di dollari nel 2022 a 41,73 miliardi di dollari previsti per il 2030, con un CAGR del 90,3%. I sistemi basati su blockchain, come Entra Verified ID di Microsoft, utilizzano gli identificatori decentralizzati (DID) standard W3C per dare agli utenti il controllo delle proprie credenziali. Le chiavi di sicurezza hardware conformi agli standard FIDO2/WebAuthn forniscono un’autenticazione resistente al phishing senza dipendere dalle telecomunicazioni.
La ricerca accademica convalida questi approcci. Nature Scientific Reports ha pubblicato degli studi che dimostrano che l’autenticazione basata su blockchain “sfrutta le carte d’identità elettroniche emesse dal governo per generare firme digitali e impiega contratti intelligenti per automatizzare il processo di autenticazione”, eliminando i requisiti dell’infrastruttura di telecomunicazione e mantenendo la sicurezza e l’usabilità.
L’era dell’autenticazione delle telecomunicazioni deve finire ora
L’attacco ai micropagamenti di KT, pur essendo finanziariamente modesto, rappresenta un momento di svolta nella sicurezza dell’autenticazione. L’uso di hardware femtocellulare facilmente reperibile per compromettere i sistemi di autenticazione dimostra che la sicurezza basata sulle telecomunicazioni è diventata banalmente vulnerabile. Se a ciò si aggiunge la violazione di SK Telecom che ha colpito 27 milioni di utenti e le persistenti vulnerabilità del settore, l’evidenza diventa innegabile: non ci si può fidare delle reti di telecomunicazione per l’autenticazione.
Il consenso degli esperti è unanime. Agenzie governative come la CISA raccomandano esplicitamente di abbandonare l’autenticazione via SMS. La ricerca accademica dimostra i difetti architettonici fondamentali dei sistemi centralizzati. I ricercatori di sicurezza dimostrano attacchi riusciti con spaventosa regolarità. Le principali aziende tecnologiche hanno già abbandonato l’autenticazione dipendente dalle telecomunicazioni. La questione non è più se abbandonare l’autenticazione basata su SMS e telecomunicazioni, ma quanto velocemente le aziende possono completare la transizione.
Soluzioni come SNAPPASS di ANDOPEN puntano a un futuro in cui l’autenticazione opera indipendentemente da un’infrastruttura di telecomunicazioni vulnerabile. Combinando il possesso fisico, la verifica biometrica e il funzionamento senza rete, questi sistemi eliminano intere categorie di attacchi, offrendo al contempo un’esperienza utente e una protezione della privacy superiori. La crescita prevista del mercato dell’identità decentralizzata, che raggiungerà i 41,73 miliardi di dollari entro il 2030, indica che le aziende riconoscono questo imperativo e stanno investendo di conseguenza.
L’incidente del KT dovrebbe essere l’ultimo avvertimento. Le organizzazioni che continuano ad affidarsi agli SMS e all’autenticazione basata sulle telecomunicazioni accettano rischi catastrofici che vanno al di là delle loro posizioni di sicurezza individuali e minacciano le infrastrutture critiche e la sicurezza nazionale. Oggi esiste la tecnologia per eliminare completamente queste vulnerabilità. L’unica domanda che rimane da porsi è se le organizzazioni agiranno prima di diventare la prossima vittima di una violazione dell’autenticazione del tutto evitabile.
Per coloro che desiderano saperne di più sulla transizione verso sistemi di autenticazione decentralizzati, SNAPPASS di ANDOPEN e soluzioni simili prive di rete offrono alternative immediate e implementabili che affrontano le cause principali dei fallimenti dell’autenticazione nelle telecomunicazioni. Il tempo dei miglioramenti incrementali è finito: il futuro dell’autenticazione deve essere decentralizzato, indipendente dalla rete e crittograficamente sicuro. L’hack del KT ci ha mostrato le conseguenze del ritardo. La strada da seguire è chiara.
