En un breve correo electrónico, el portavoz de NCSC, Miral Scheffer, llamó a TETRA «una base crucial para la comunicación de misión crítica en los Países Bajos y en todo el mundo» y enfatizó la necesidad de que tales comunicaciones sean siempre confiables y seguras, «especialmente durante situaciones de crisis». Ella confirmó que las vulnerabilidades permitirían que un atacante en las cercanías de las radios afectadas «interceptara, manipulara o perturbara» las comunicaciones y dijo que el NCSC había informado a varias organizaciones y gobiernos, incluidos Alemania, Dinamarca, Bélgica e Inglaterra, aconsejándoles cómo proceder. Un portavoz de la Agencia de Seguridad de Infraestructura y Ciberseguridad del DHS dijo que están al tanto de las vulnerabilidades, pero que no harían más comentarios.
Los investigadores dicen que cualquier persona que use tecnologías de radio debe consultar con su fabricante para determinar si sus dispositivos usan TETRA y qué soluciones o mitigaciones están disponibles.
Los investigadores planean presentar sus hallazgos el próximo mes en la conferencia de seguridad BlackHat en Las Vegas, cuando publicarán un análisis técnico detallado, así como los algoritmos secretos de encriptación TETRA que no han estado disponibles para el público hasta ahora. Esperan que otros con más experiencia profundicen en los algoritmos para ver si pueden encontrar otros problemas.
TETRA fue desarrollado en los años 90 por el Instituto Europeo de Normas de Telecomunicaciones, o ETSI. El estándar incluye cuatro algoritmos de cifrado (TEA1, TEA2, TEA3 y TEA4) que los fabricantes de radios pueden utilizar en diferentes productos, según el uso previsto y el cliente. TEA1 es para usos comerciales; Sin embargo, para radios utilizados en infraestructura crítica en Europa y el resto del mundo, también está diseñado para ser utilizado por agencias de seguridad pública y militares, según un documento ETSI, y los investigadores encontraron agencias policiales que lo utilizan.
TEA2 está restringido para su uso en Europa por parte de la policía, los servicios de emergencia, el ejército y las agencias de inteligencia. TEA3 está disponible para la policía y los servicios de emergencia fuera de Europa, en países considerados «amigos» de la UE, como México e India; aquellos que no se consideraban amigos, como Irán, solo tenían la opción de usar TEA1. TEA4, otro algoritmo comercial, apenas se usa, dicen los investigadores.
La gran mayoría de las fuerzas policiales de todo el mundo, aparte de los EE. UU., utilizan tecnología de radio basada en TETRA, según descubrieron los investigadores, después de realizar una investigación de código abierto. TETRA es utilizado por las fuerzas policiales en Bélgica y los países escandinavos, países de Europa del Este como Serbia, Moldavia, Bulgaria y Macedonia, así como en el Medio Oriente en Irán, Irak, Líbano y Siria.
Además, lo utilizan los Ministerios de Defensa de Bulgaria, Kazajstán y Siria. La agencia de contrainteligencia militar polaca lo utiliza, al igual que las fuerzas de defensa finlandesas y los servicios de inteligencia de Líbano y Arabia Saudita, por nombrar solo algunos.
La infraestructura crítica en los EE. UU. y otros países utiliza TETRA para la comunicación de máquina a máquina en SCADA y otras configuraciones de sistemas de control industrial, especialmente en tuberías, vías férreas y redes eléctricas ampliamente distribuidas, donde las comunicaciones alámbricas y celulares pueden no estar disponibles.
Aunque el estándar en sí está disponible públicamente para su revisión, los algoritmos de encriptación solo están disponibles con un NDA firmado para partes de confianza, como los fabricantes de radios. Los proveedores deben incluir protecciones en sus productos para dificultar que cualquiera extraiga los algoritmos y los analice.