Suplantar un contacto de WhatsApp clonando su SIM

En uno de esos correos que recibo habitualmente con preguntas, una persona me contaba un caso
bastante curioso, ya que no se trataba de espiar WhatsApp sino desuplantar WhatsApp. Resulta
que una persona reciba mensajes de WhatsAppdesde el nmero de telfono de una persona que
era imposible que los hubiera enviado, lo que haca que el misterio fuera peor an.

Intentando buscar todas las opciones posibles pens en muchas situaciones que os paso a contar,
pero que ninguna result ser la correcta, lo que me hizo incluso pensar hasta en la trolleada de
cambiar el nmero de telfono en la agenda de contactos, que como broma pesada a un amigo es
un poco fuerte, pero podra haber sucedido.

Figura 1: Humor sobre WhatsApp

Inyeccin de mensajes directamente en la BBDD de WhatsApp

La primera de ellas que alguien estuviera inyectando los mensajes directamente en la base de
datos del terminal de la vctima. Al final la aplicacin est soportada por una base de datos
de SQLite que nosotros conocemos bien gracias al servicio derecuperacin de mensajes de
WhtasApp borrados de RecoverMessages y a la aplicacin para evitar que los mensajes
borrados WhatsApp Anti-Delete Protection Tool.
 Figura 2: Estructura de BD de WhatsApp para mensajes. Ejemplo con el ataque DOS.

Si alguien hubiera tenido acceso al SQLite, ya fuera va un exploit remoto, acceso fsico o
mediante un troyano de espionaje para el terminal - cmo meter un troyano en iPhone -, podra
haber ejecutado comandos SQL suficientes como para inyectar el mensaje que le hubiera dado la
gana y suplantar a un destinatario del mensaje, as que un anlisis forense no vena de ms.

Interceptacin de proceso de registro de alta

El proceso de registro de alta de WhtasApp podra interceptarse si se realiza lainterceptacin del

trfico en la red WiFi desde la que solicita el alta de un terminal y al mismo tiempo se intercepta
el mensaje de respuesta con el cdigo de confirmacin que enva WhatsApp con el
mensaje SMS.
 Figura 3: Un mensaje SMS capturado por GSM

En ese orden de cosas, yo estuve pensando en que alguien podra haber spoofeadola peticin del
alta del nmero de la vctima suplantada y capturar el mensaje SMSpor el aire, tal y como se
explic en el artculo de SDR-RTL en el que se captura un mensaje
SMS por GSM usando WireShark. Eso s, la persona poseedora del nmero de telfono que se iba
a suplantar habra recibido un mensaje SMS que la debera haber hecho sospechar.

Portabilidad Temporal

Otra de las ideas que acudi a mi brainstorming personal fue que alguien hubiera solicitado una
portabilidad ilegal del nmero a otro operador consiguiendo falsificar los documentos necesarios
y saltar las comprobaciones, para poder luego registrar el nmero de WhatsApp, pero eso
significara que la lnea de la persona suplantada dejara de funcionar.

Clonado de SIM

Al final, despus de animar a la denuncia y el anlisis forense del terminal, la persona me cont
que parece que el atacante haba clonado la SIM de la vctima y que tena todo el material
encima, incluso la SIM clonada cuando lo detuvieron. Con esa SIM clonada cre la cuenta
de WhatsApp y enviaba los mensajes, adems de recibir toda la informacin de lo que pasaba
con el nmero de telfono de la vctima.
 Figura 4: Un clonador de tarjertas SIM

Por supuesto, la vctima de la suplantacin debera haber recibido el mensaje SMScon el cdigo
de confirmacin de alta de WhatsApp, pero ese cdigo no valdra nada ms que para el terminal
del suplantador, ya que la peticin de alta en WhatsAppsali desde l con su informacin.

Cmo se clona una SIM?

Como os podis imaginar, quise comprobar el alcance de este mtodo de clonar SIMsa da de hoy,
as que llam a mis amigos de Layakk para que me informaran un poco de cmo iba esto y
dediqu un para de horas a leer todo lo posible sobre el tema, ya que si buscas por SIM Clonning
Tool en Internet el nmero de referencias es altsimo.

Al fin y al cabo, lo que yo realmente quera saber es si mi tarjeta SIM podra ser clonada para que
alguien me robara el WhatsApp, mis SMS, etctera, as que me puse manos a la obra a leer un
poco, que es barato y se aprende mucho.

Tras la lectura de varios artculos tirando de referencias hacia atrs, al final se llega al origen de
todo esto, el documento de GSM-Clonning que publicaron en 1998 Marc Briceno, Ian Goldberg y
David Wagner donde desarrollan un ataque de cumpleaos al protocolo COMP128(v1) que
implementan muchas de las tarjetas SIM antiguas - aqu podis leer el cdigo C original -.

Con este ataque era posible descubrir la clave de firma que usan las tarjetas SIM a lo hora de
autenticarse en la red, pero no era completo. Sin embargo en el ao 2003se public el
artculo COMP128: A Birthday Surprise que explica cmo mejorar para sacar la clave de firma,
llamada Ki de todas las tarjetas SIM que utilicen el algoritmoCOMP128(v1).
 Figura 5: Esquema bsico de COMP128v1

Esto llev a que proliferasen los famosos clonadores de SIM con COMP128v1, reducidos a sencillos
dispositivos USB junto a herramientas software que trascrackear el valor Ki de
la SIM con COMP128(v1) leen los datos y los graban en otraSIM virgen.

COMP128v2, COMP128v3 y COMP128v4

Esto no iba a ser tan sencillo, ya que la industria reaccion con nuevos algoritmos que evitan
estos ataques, aadiendo medidas de control que anulan los ataques descritos anteriormente e
incluso cambiando los algoritmos directamente para que no sea posible aplicar este ataque. A da
de hoy an no es posible clonar tarjetas SIM con estos algoritmos, as que si necesitas un
duplicado de SIM debes hablar directamente con el operador correspondiente.

Cuanto ms lea ms intrigado estaba, as que volviendo a mi pregunta de cmo saber qu

algoritmo implementa mi SIM? busqu programas que me pudieran resolver la cuestin, pero
ninguno pareca mostrar ese dato en concreto de la versin exacta del protocolo COMP128 que
utiliza una determinada SIM.

La informacin ms til que encontr es que las SIM que se fabricaron en los aos anteriores a
2002 implementaban todas COMP128(v1) y que si la SIM implementaba otro algoritmo entonces al
usar cualquier software de clonacin de SIMs apareceraKi con valores todo a cero, lo que
significaba que no era vulnerable.

ICCID y el ao de la SIM

Intentando reducir el problema a saber de qu ao es mi SIM, empec a buscar informacin sobre

el tema. En un artculo de SET "Saqueadores Edicin Tcnica" sobre SIM Emulation se explicaba
que en el valor ICCID - el nmero de identificacin nico de cada SIM, los bytes de las
posiciones 8 y 9 del ICCID podra indicar el ao de fabricacin.

En mi caso busqu cmo localizar el valor de mi ICCID en iPhone, que puede hacerse
va Informacin sobre el terminal, buscando los nmeros impresos en la tarjeta SIMo bien usando
las teclas de comando que se explican en el libro de Hacking iPhone*#102#, pero con el comando
solo se devuelven los ltimos 5 dgitos.
 Figura 6: Informacin de ICCID en un iPhone

Al revisar el ICCID completo, los valores en las posiciones que podran ser del ao resultaron
componer el nmero 50, as que no me cuadraban mucho, por lo que busqu datos concretos de
cmo se construye ese ICCID actualmente. Para mi sorpresa descubr que hay un vaco regulatorio
bastante grande y que salvo los primeros bytes que son 89, el cdigo del pas y el nmero de
identificacin delissuer, el resto depende del propio fabricante de la SIM, siempre y cuando sea
nico y del mismo tamao.

Es cierto que la recomendacin habitual es que los dgitos lleven el ao y el mes, junto con el
nmero de serie, y en este Proyecto de Fin de Carrera de Angel Lus Gimnez sobre Cmo crear
un OMV en Espaa as se describe tambin como ejemplo de creacin de un ICCID.

Buscando informacin sobre quin fabric mi SIM, encontr este documento que tal vez os venga
bien si tenis que hacer algn forense a una SIM o un terminal, que recoge la lista de todos los
Issuer Indentification Numbers, y donde por supuesto est el mo, que pertenece a Telefnica.
 Figura 7: ICCID de Telefnica

En el caso concreto de Telefnica no se usa esa aproximacin basada en aos y meses o

semanas, pero si tu operador si la utiliza, te agradecera que me informaras de ello y al mismo
tiempo sabrs si tu tarjeta puede ser o no clonada por usar COMP128v1. Por supuesto, yo no me
pienso quedar con la duda de cmo se construye ese ICCID en mi nmero, pero parece ms que
claro que no lleva el ao en l - al menos a simple vista -.

El ICCID de las SIM de Vodafone

Segn me comenta un lector, en el caso de Vodafone s que se puede averiguar el ao de la SIM

ya que el ICCID se construye con el siguiente formato 89 3456 AA B CC DD EEEEE F donde:
89: Cdigo de Telecomunicaciones [Fijo]
34: Cdigo aplicado a Espaa
56: Cdigo aplicado a Vodafone
AA: Rango de IMSI / HLR, esto se utiliza para identificar la tarjeta, si es para un duplicado, alta
nueva, portabilidad, etc...
B: Cdigo de fabricante
CC: Ao de fabricacin
DD: Semana de fabricacin
EEEEE: Nmero de fabricacin
F: Dgito de control.
Redes de operadores mviles y fortificacin

Otra de las opciones que se plantean es que el operador no permita tarjetas con algoritmos de
firma basados en COMP128v1. Buscando informacin sobre ello top con este artculo de Pedro
Cabrera que explica en Security By Default cmo es posible suplantar un nmero de telfono por
GSM aprovechando que el despliegue de redes ms modernas no es siempre tan sencillo y quedan
an zonas con tecnologas que lo permiten.

De hecho, existe un mapa del mundo en GSMMap que cataloga las redes de los pases por
diferentes niveles de seguridad dependiendo de las tecnologas que van implementando para
evitar cualquier nuevo ataque.
 Figura 8: Mapa de seguridad GSM en Europa

Por supuesto, esto es un coste de inversin alto que adems lleva un tiempo de despliegue de las
nuevas capacidades, as que es posible que por motivos de compatiblidad o cobertura, sigan
siendo admitidas esas SIM antiguas.

Me pueden clonar mi tarjeta?

Lo dicho, si tu tarjeta es moderna no parece posible que lo hagan, pero si tu tarjeta es antigua
podra pasar, as que, tal vez sea una buena idea no dejar la SIM al alcance de cualquiera - Apple
ya ha patentado un sistema de extraccin segura de SIM - y/o pedir una SIM ms moderna.

De hecho, las tarjetas SIM tan antiguas no funcionan con 4G y puede que te den problemas
incluso con 3G, pero si eres de esos que tiene la SIM desde hace aos porque es ms seguro un
telfono mvil antiguo que un smartphone, que sepas que eso no tiene que ser siempre as.