Guía de tecnologías

Cómo roban cuentas de Facebook usando la falla SS7

8 min read Ciberseguridad Actualizado 06 Oct 2025
Falla SS7: cómo roban tu cuenta de Facebook
Falla SS7: cómo roban tu cuenta de Facebook

Ilustración de la señalización móvil SS7 y su riesgo para cuentas en línea

Tabla de contenido

  • Cómo los hackers pueden usar la falla SS7 para robar tu cuenta de Facebook
  • Cómo funciona el ataque contra Facebook
  • Por qué SS7 no se parchea en todas las redes
  • Cuándo este ataque falla (contraejemplos)
  • Medidas de seguridad y endurecimiento
  • Listas de verificación por rol
  • Caja de datos clave y glosario
  • Resumen y lecturas recomendadas

Cómo los hackers pueden usar la falla SS7 para robar tu cuenta de Facebook

Investigadores han demostrado que es posible tomar control de una cuenta de Facebook con solo conocer el número de teléfono de la víctima y explotar fallas en la red SS7. SS7 (Signalling System 7) es el conjunto de protocolos que usan las operadoras para enrutar llamadas, SMS y servicios como la portabilidad de números. Fue desarrollado en 1975 y sigue siendo la columna vertebral de muchas funciones de la telefonía pública.

Definición rápida: SS7 es el protocolo de señalización que conecta las redes telefónicas y gestiona llamadas, mensajes y servicios suplementarios.

La falla permite a un atacante (o a quien tenga acceso a la infraestructura de señalización) ordenar que los mensajes o las llamadas se reenvíen a otro destino. Si un servicio como Facebook envía un código de verificación por SMS, el atacante intercepta o redirige ese código y así completa el flujo de recuperación de cuenta.

Importante: no se necesita romper la encriptación de Facebook. El vector es la confianza en la ruta de entrega del SMS o la llamada que entrega el código temporal.

Cómo funciona el ataque contra Facebook

  1. El atacante obtiene o conoce el número de teléfono asociado a la cuenta objetivo.
  2. Usando acceso real o simulado a la señalización SS7, el atacante solicita al operador que redirija SMS y llamadas para ese número hacia un dispositivo que controla. Esto se conoce como “spoofing” de la red.
  3. En la página de Facebook, el atacante usa el enlace “Forgot Account?” para iniciar la recuperación y solicita el envío del código por SMS al número legítimo.
  4. La red, ya manipulada, entrega el SMS al atacante en lugar de al propietario legítimo.
  5. Con el código en mano, el atacante restablece la contraseña o toma control de la cuenta.

Los investigadores han automatizado la detección de ciertos ataques SS7 y desarrollado herramientas (por ejemplo, SnoopSnitch) que anuncian actividad anómala en redes móviles, como intentos de reenvío o consultas inusuales hacia el IMSI de un equipo.

Por qué SS7 no se parchea en todas las redes

La raíz del problema no es una sola pieza de software que pueda actualizarse con un parche central. SS7 es un estándar global implementado por cientos de operadoras y equipos de infraestructura. Las razones por las que el problema persiste incluyen:

  • Arquitectura distribuida: cada operador gestiona su propia red y sus actualizaciones. Un cambio requiere coordinación internacional.
  • Incentivos políticos: algunos estados y agencias desean mantener la capacidad de interceptar comunicaciones para inteligencia y seguridad.
  • Costes y compatibilidad: reemplazar o endurecer sistemas que llevan décadas en operación requiere inversión y pruebas para evitar romper servicios masivos.

Informes de 2014 y auditorías posteriores mostraron cómo tanto agencias estatales como actores no estatales podían rastrear y, en ocasiones, redirigir comunicaciones usando SS7.

Cuándo este ataque falla (contraejemplos)

  • Autenticación sin SMS: si la cuenta usa exclusivamente autenticadores de apps (TOTP), llaves hardware (FIDO2/WebAuthn) o recuperación por correo electrónico seguro, el vector por SMS no funciona.
  • Seguridad de la plataforma: plataformas que no ofrecen la opción de recuperar cuentas por SMS, o que requieren verificación adicional (con historial, dispositivos previos, pruebas de identidad) reducen la probabilidad de éxito.
  • Operadoras con controles SS7: algunas operadoras implementan filtros y reglas para bloquear solicitudes SS7 sospechosas o procedentes de fuentes no autorizadas.

Contraejemplo práctico: una cuenta protegida con llave de seguridad y autenticador de aplicaciones no puede ser restablecida solo con un SMS interceptado.

Medidas de seguridad y endurecimiento (qué puedes hacer hoy)

Para usuarios:

  • Evita usar SMS como único factor de recuperación. Configura autenticación de dos factores con una app (Google Authenticator, Authy) o, mejor, con una llave de seguridad compatible con FIDO2/WebAuthn.
  • Añade y verifica un correo electrónico de recuperación distinto del número móvil.
  • Activa alertas de inicio de sesión y revisa la lista de dispositivos autorizados en Facebook.
  • Si tu número es público, considera usar un número virtual para cuentas críticas o limitar su uso.

Para administradores de plataforma (p. ej., Facebook):

  • Reducir la dependencia de SMS para la recuperación de cuentas; ofrecer detección de fraude en el flujo de recuperación.
  • Requerir señales adicionales (historial de inicio, geolocalización, dispositivos previos) antes de permitir restablecimientos.
  • Promover y hacer opcional/forzar el uso de llaves de seguridad y autenticadores fuera de banda.

Para operadoras móviles:

  • Implementar filtrado y políticas de seguridad en los puntos de señalización SS7 y en los gateways interconectados.
  • Monitorizar y auditar solicitudes inusuales de reenvío o de liberación de claves temporales.
  • Ofrecer a clientes empresariales y de alto riesgo números o planes con protección adicional contra portabilidades SIM no autorizadas.

Nota: muchas de estas medidas requieren coordinación entre actores: usuarios, plataformas y operadoras.

Listas de verificación por rol

Lista rápida para usuarios particulares:

  • Habilitar autenticación por app o llave de seguridad.
  • Verificar correo de recuperación diferente al número móvil.
  • Revisar sesiones activas y cerrar las que sean sospechosas.
  • Usar contraseñas únicas y un gestor de contraseñas.

Checklist para administradores de producto (redes sociales):

  • Minimizar la emisión de códigos por SMS en procesos sensibles.
  • Añadir pasos de verificación adicional para recuperación.
  • Implementar detección de abuso de flujos de recuperación.

Checklist para operadores móviles:

  • Aplicar filtros en mensajes SS7 y validación de origen.
  • Registrar y auditar solicitudes de redirección de tráfico.
  • Ofrecer procesos seguros de portabilidad y bloqueo de SIM.

Caja de datos clave y glosario (línea por término)

  • SS7: Protocolo de señalización usado desde 1975 para enrutar llamadas y SMS entre operadoras.
  • SnoopSnitch: Herramienta de detección que alerta sobre ciertos ataques SS7 en dispositivos Android con radio compatible.
  • IMSI-catcher: Dispositivo que simula una torre celular para interceptar comunicaciones móviles.
  • TOTP: Time-based One-Time Password, método de autenticación por aplicación (ej. Google Authenticator).

Datos clave:

  • 1975: año de creación de SS7.
  • 2008: desde entonces existen advertencias públicas sobre las vulnerabilidades de SS7.
  • 2014: informes que describieron la capacidad de rastreo global usando SS7.

Mental model: cómo entender el ataque en 1 línea

Imagina que SS7 es la libreta de direcciones global de la telefonía: si alguien modifica a quién apunta un número, todos los mensajes llegan al destino equivocado sin que la app lo note.

Riesgos, mitigaciones y cuándo escalar

Riesgos principales:

  • Robo de cuentas personales y empresariales.
  • Acceso a servicios que usan recuperación por SMS (bancos, correo, redes sociales).
  • Uso del acceso para fraude, suplantación o extorsión.

Mitigaciones prioritarias:

  • Sustituir SMS por factores de autenticación fuera de banda (llaves hardware, autenticadores).
  • Implementar políticas de detección de fraude en flujos de recuperación.
  • Operadoras: auditar y filtrar solicitudes SS7.

Cuándo escalar: si detectas movimientos o intentos de recuperación que no autorizaste, contacta inmediatamente a la plataforma (soporte de Facebook) y a tu operadora para iniciar bloqueo de número/portabilidad y revisar actividad.

Resumen y lecturas recomendadas

La falla en SS7 expone una debilidad de la arquitectura global de telefonía: los ataques no rompen la seguridad aplicada en apps, sino que explotan la confianza en la entrega de códigos por SMS. La solución técnica completa requiere coordinación internacional entre operadores, y mientras tanto los usuarios y las plataformas deben reducir la dependencia de SMS.

Video de la investigación (demostración):

https://youtu.be/wc72mmsR6bM

También lee: Esta herramienta de hacking usa la falla SS7 para rastrear llamadas y la ubicación de cada teléfono móvil.

Resumen final:

  • No confíes exclusivamente en SMS para recuperar cuentas críticas.
  • Usa autenticadores de aplicaciones o llaves de seguridad siempre que sea posible.
  • Si eres responsable de una plataforma o una operadora, prioriza detección y controles en los flujos de recuperación y en los puntos de señalización.
Compartir: X/Twitter Facebook LinkedIn Telegram
Autor
Edición

Materiales similares

6 problemas comunes de portátiles y cómo solucionarlos
Hardware

6 problemas comunes de portátiles y cómo solucionarlos

Instagram Reels: guía para aumentar alcance y engagement
Redes sociales

Instagram Reels: guía para aumentar alcance y engagement

Copilot Mode en Edge: guía para habilitar y usar
Navegadores

Copilot Mode en Edge: guía para habilitar y usar

Comprimir archivos al tamaño mínimo
Herramientas

Comprimir archivos al tamaño mínimo

Escritorios virtuales en Chrome OS
Productividad

Escritorios virtuales en Chrome OS

Desactivar subtítulos en Peacock TV — Guía rápida
Streaming

Desactivar subtítulos en Peacock TV — Guía rápida