Buscapersonas con POCSAG: vulnerables por diseño

9 de octubre de 2024

Los buscapersonas, o 'buscas', son dispositivos de comunicación personal que fueron muy populares antes de la llegada de los teléfonos móviles. Permiten recibir mensajes de texto o alertas en cualquier momento y lugar, lo que en su momento revolucionó la comunicación. Hoy los busca son menos comunes, pero todavía se utilizan a pesar de que enfrentan problemas de seguridad por la simplicidad de su tecnología y la falta de medidas de protección modernas.

Precisamente en este artículo vamos a analizar las vulnerabilidades inherentes al diseño de ciertos protocolos usados por los buscas, como POCSAG. El uso de estos protocolos inseguros junto a la irrupción y democratización del hardware SDR (Software Defined Radio) forma un peligroso coctel, que, bajo nuestro punto de vista, debería hacer reconsiderar la idoneidad de su uso en sectores críticos como el sanitario o el industrial.

¿Cómo funcionan las redes de buscas?

Una red de buscapersonas opera transmitiendo mensajes a través de una frecuencia de radio a dispositivos que siempre están escuchando. Cada busca tiene un identificador único, conocido como capcode o RIC (Radio Identification Code), que le indica qué mensajes recibir.

Cada busca está programado para responder a uno o más capcodes, determinando qué mensajes debe recibir y cómo debe reaccionar. Este sistema permite tanto la mensajería individual como la de difusión (broadcast), donde un solo mensaje puede enviarse a múltiples dispositivos que comparten el mismo capcode.

Sin embargo, estas redes carecen de cualquier forma de autenticación o cifrado, lo que significa que los mensajes enviados a los buscapersonas se transmiten en abierto. Esto crea un riesgo significativo de seguridad, ya que cualquiera con un transmisor de radio básico puede inyectar mensajes en la red simplemente conociendo la frecuencia y el capcode.

Aunque esta falta de autenticación puede ser útil para configurar de forma rápida redes de buscas personales, por otro lado, plantea una amenaza en el mundo real. Por ejemplo, los atacantes podrían manipular sistemas críticos como las redes de buscas de hospitales o los sistemas de control industrial, lo que podría causar graves interrupciones.

Tipos de mensajes que pueden enviarse a un busca

La versatilidad de los buscas permite la recepción de múltiples tipos de mensajes, los principales son:

Mensajes de alerta: activan señales simples como vibraciones o notificaciones sonoras, a menudo utilizadas en situaciones de emergencia.
Mensajes numéricos: como códigos cortos previamente acordados por los usuarios del servicio o números de teléfono
Mensajes alfanuméricos: Estos son los más complejos, permitiendo tanto texto como números.

✅ Esta flexibilidad hace que las redes de buscapersonas sean útiles para enviar desde alertas de emergencia críticas hasta instrucciones o notificaciones más detalladas.

¿Cómo se compone un mensaje POCSAG?

A continuación, detallamos los principales parámetros requeridos para enviar un mensaje POCSAG:

Bitrate: Esta es la velocidad a la que se transmitirá el mensaje. La tasa de bits más común para las transmisiones POCSAG es de 1200 bps, aunque en algunas redes también se pueden usar 512 o 2400 bps.
Fase: En las transmisiones POCSAG, hay dos posibles configuraciones de fase: N y P. Esta configuración determina cómo se modula la señal. La mayoría de los buscapersonas funcionarán con cualquiera de las dos, pero es esencial que coincida con la configuración de la red para una correcta entrega del mensaje.
Tipo: Esto determina el formato del mensaje. Puedes elegir entre alerta, numérico o alfanumérico.
Función: Esto representa el código de función para el buscapersonas. Los códigos de función pueden desencadenar diferentes respuestas, como un sonido, una vibración o un modo de visualización específico.
Mensaje: Este campo contiene el cuerpo del mensaje real que se va a transmitir.

✅ Para transmitir el mensaje, también es necesario el capcode del buscapersonas, que es su identificador único. El capcode generalmente se encuentra en la parte posterior del buscapersonas.

¿Es fácil realizar una suplantación en POCSAG? ¿Qué se necesita?

Es sorprendentemente sencillo e incluso barato, hacerlo con un hardware básico como el popular HackRF, dotándole de portabilidad a través de un sistema de baterías como portapack, a menudo vendidos de forma conjunta por un precio que ronda los 200€.

Adicionalmente se le puede dotar a este hardware de nuevas capacidades con el conocido firmware Mayhem.

Simplemente con eso se tendría lo necesario a nivel de equipamiento para poder interceptar comunicaciones en una red de buscas e incluso inyectar mensajes una vez obtenida la frecuencia de la red y los diferentes identificadores de dispositivos individuales.

Vulnerabilidad por diseño

Al no contar POCSAG con autenticación ni cifrado para obtener los capcodes de cara a un potencial ataque o suplantación posterior (al más puro estilo wireshark) se puede capturar el capcode y frecuencia recibiendo y decodificando las transmisiones de la red de buscapersonas mediante cualquier dispositivo SDR que permita escuchar y capturar mensajes de la red.

Conclusiones

Hemos repasado en este artículo como ciertos protocolos de mensajes como POCSAG, usados en redes de buscas, son inherentemente inseguros por la falta de autenticación y cifrado. El sistema trata cualquier transmisión correctamente formateada como legítima, por lo que es muy sencillo suplantar un mensaje en la red utilizando herramientas fácilmente disponibles y muy económicas.

El diseño de este tipo de protocolos obsoletos en términos de seguridad es un riesgo en sí mismo. Esto enfatiza la necesidad de medidas de seguridad más fuertes o de alejarse de tecnologías obsoletas que todavía se utilizan ampliamente pero que ya no son adecuadas para las necesidades de seguridad modernas.

⚠️ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse

____