O2 UK repara un fallo que exponía la ubicación de los usuarios móviles a través de metadatos de llamadas

Un reciente descubrimiento ha revelado que O2 UK, uno de los principales proveedores de servicios de telecomunicaciones en el Reino Unido, tenía un fallo en su implementación de tecnologías VoLTE y WiFi Calling que permitía a terceros acceder a la ubicación general de un usuario al realizar una llamada a su dispositivo. Este problema, que afectaba a millones de clientes, fue encontrado por el investigador de seguridad Daniel Williams y ha sido un tema candente en el ámbito de la seguridad digital.

El descubrimiento del problema

Daniel Williams, al analizar el tráfico de llamadas en la red de O2, notó que los mensajes de señalización (SIP Headers) intercambiados durante las llamadas eran excesivamente detallados. Estos mensajes no solo contenían información sobre la llamada, como el servidor IMS utilizado por O2 (Mavenir UAG), sino también datos sensibles como el IMSI, IMEI y la ubicación celular del usuario. Estos hallazgos han llevado a muchos a cuestionar la seguridad de la información que se maneja a través de las telecomunicaciones.

La historia detrás de O2 UK

O2 UK, propiedad de Virgin Media O2, es uno de los proveedores más grandes del país, con cerca de 23 millones de clientes móviles y 5.8 millones de clientes de banda ancha, según reportes de marzo de 2025. La compañía lanzó su servicio de Sistema Multimedia IP (IMS), conocido como "4G Calling", en 2017, buscando mejorar la calidad de audio y la fiabilidad de las llamadas.

Cómo se expuso la ubicación de los usuarios

Utilizando la aplicación Network Signal Guru (NSG) en un Google Pixel 8 con acceso root, Williams pudo interceptar mensajes de señalización IMS en tiempo real durante una llamada. Al decodificar el ID de la celda involucrada en la comunicación, pudo rastrear la última torre celular a la que se conectó el destinatario de la llamada. Con herramientas públicas para mapas de torres celulares, logró determinar las coordenadas geográficas de dicha torre.

Precisión del rastreo de ubicación

En áreas urbanas donde la cobertura de torres es densa, la precisión de la localización podría ser casi exacta, alcanzando hasta 100 m² (1076 ft²). Sin embargo, en áreas rurales, aunque la precisión disminuye, la información aún podría revelar datos críticos sobre el usuario. Esta capacidad de localizar a individuos también se demostró en un caso en el que Williams rastreó a un sujeto de prueba en Copenhague, Dinamarca, utilizando el mismo método.

La respuesta de O2 UK

Tras realizar sus descubrimientos, Williams se comunicó con O2 UK en varias ocasiones el 26 y 27 de marzo de 2025 para informar sobre el fallo. A pesar de sus intentos iniciales de contacto, no recibió respuesta inmediata. Sin embargo, posteriormente, la empresa confirmó que el problema había sido abordado y solucionado satisfactoriamente, lo cual fue verificado por Williams en pruebas subsiguientes.

Declaraciones de la compañía

Un portavoz de Virgin Media confirmó que habían estado trabajando en la solución del problema durante varias semanas y que las pruebas realizadas indicaban que el fallo había sido completamente reparado. La compañía aseguró que los clientes no necesitarían realizar ninguna acción adicional para protegerse de este problema.

La importancia de la privacidad en el uso de telecomunicaciones

Este incidente pone de relieve un aspecto crítico de la seguridad digital: la protección de la privacidad en el uso de comunicaciones móviles. La filtración de información tan vital como la ubicación de un usuario puede tener consecuencias graves. Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Cómo proteger tu información personal

Para evitar situaciones similares, los usuarios deben estar siempre alertas sobre la información que comparten y cómo se puede utilizar. Las siguientes recomendaciones pueden ayudar a mejorar la privacidad en el uso de servicios móviles:

• Utiliza aplicaciones de mensajería cifradas: Las aplicaciones como Signal o WhatsApp ofrecen cifrado de extremo a extremo, lo que dificulta el acceso a tus comunicaciones.

• Revisa los permisos de las aplicaciones: Algunas aplicaciones pueden solicitar acceso a tu ubicación y otros datos personales sin necesidad. Siempre verifica y limita estos permisos.

• Actualiza tu software regularmente: Mantener el software de tu dispositivo actualizado es crucial, ya que las actualizaciones a menudo corrigen vulnerabilidades de seguridad.

O2 UK y su compromiso con la seguridad

Después de este incidente, O2 UK ha enfatizado su compromiso con la seguridad de sus usuarios y la protección de sus datos. Sin embargo, el hecho de que un fallo tan significativo ocurriera en primer lugar ha llevado a muchos a cuestionar las prácticas de seguridad de diversas compañías de telecomunicaciones.

Lecciones aprendidas

Los usuarios deben ser conscientes de que, aunque los proveedores de servicios implementan medidas de seguridad, siempre existe el riesgo de que se produzcan vulnerabilidades. Por ello, se hace indispensable establecer un entorno seguro para resguardar la información personal. Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

La perspectiva futura

Este tipo de situaciones recalca la importancia de una mayor regulación y auditoría en la industria de telecomunicaciones. Los consumidores merecen saber qué tan seguros están sus datos y cuáles son las medidas que se toman para proteger su privacidad. A medida que más individuos se informan sobre la seguridad digital, es probable que se produzcan cambios en la forma en que las empresas manejan y protegen la información.

Recomendaciones finales

La vulnerabilidad en el sistema de O2 UK no solo es un recordatorio de los riesgos que enfrentan los consumidores en el mundo digital, sino también una llamada a la acción para que los proveedores de servicios de telecomunicaciones mejoren sus prácticas de seguridad. Al estar informados y tomar medidas proactivas, los usuarios pueden ayudar a asegurar que su información personal permanezca privada y protegida.

En resumen, es fundamental estar al tanto de las amenazas que pueden surgir y tomar decisiones informadas sobre cómo utilizamos nuestras tecnologías de comunicación. Protección y conocimiento son herramientas clave en la lucha por mantener nuestra privacidad en el nuevo horizonte digital.

Fuente: https://www.bleepingcomputer.com/news/security/o2-uk-patches-bug-leaking-mobile-user-location-from-call-metadata/