Robar dos mil millones de tarjetas SIM es una pesadilla real

Las nuevas declaraciones contra la NSA revelan que el grupo hackeó la red del mayor fabricante de tarjetas SIM, robando claves de cifrado de millones de dispositivos.

La última de una larga cola de revelaciones de Edward Snowden sobre la Agencia Nacional de Seguridad (NSA), puede ser una de las más estremecedoras: supuestamente la NSA y su aliado británico, el GCHQ (Government Communications Headquarters – Sede de Comunicaciones del Gobierto ), comprometieron las redes de Gemalto, y robaron las claves cifradas que protegían a incalculables millones de tarjetas SIM.

Un acceso a las tarjetas SIM de este nivel podría poner en duda la integridad de todos los sistemas de comunicaciones móviles a nivel global. Esto no quiere decir que tus comunicaciones estén siendo monitoreadas, pero podrían estar al alcance con un sólo clic.

Si te preguntas quién es Gemalto, es un fabricante mundial de tarjetas SIM para dispositivos móviles. De hecho, fabrica más tarjetas SIM que cualquier otra compañía en el mundo, según el magazine The Economist.

El artículo de la revista The Intercept, en el que aparecieron estas declaraciones por primera vez, estima que Gemalto produce alrededor de 2 billones de tarjetas SIM al año. Para contextualizar esto, hay 7.125 billones de seres humanos en el mundo; y una estimación de 7,19 billones de dispositivos móviles. Supuestamente, los clientes de Gemalto incluyen servicios móviles de proveedores como Sprint, AT&T, Verizon, T-Mobile y de otros 450 grupos. La compañía opera en 85 países y gestiona 40 instalaciones de producción.

SIM es el acrónimo de Módulo de Identificación del Abonado (en inglés Subscriber Identity Module). Una tarjeta SIM es un pequeño circuito integrado que se conecta a tu dispositivo móvil. Contiene la identidad única de abonado del móvil internacional (en inglés IMSI – International Mobile Subscriber Identity) conjuntamente con la contraseña cifrada de autentificación. Juntas, la contraseña y el número, fundamentalmente validan que tu móvil es en realidad tu teléfono. Es como una combinación usuario-contraseña de acceso, pero con el hardware completamente informatizado y, por lo tanto, no se puede cambiar.

Tener la lista original de estas contraseñas le daría a un atacante la capacidad de monitorizar las comunicaciones de voz y datos de cualquier dispositivo que contiene una tarjeta SIM cuya contraseña cifrada figure en la lista. Si estas acusaciones son ciertas, significa que la NSA y el GCHQ tienen la capacidad de controlar cantidades masivas de datos y comunicaciones móviles de todo el mundo, sin ninguna orden ni ninguna otra autorización judicial.

Se oye mucho a los medios no técnicos hablar  de las actividades de metadatos relacionadas con la NSA, pero filtraciones como ésta y revelaciones sobre los generadores de números pseudoaleatorios son realmente alarmantes. Los metadatos pueden decirte dónde ha estado una persona, con quién se relaciona y, de hecho , te dice quién es esa persona. Un ataque masivo a las tarjetas SIM o a los protocolos de cifrado le da al atacante la capacidad de ver –en archivo de texto- el contenido de la correspondencia que nos intercambiamos unos con otros. Mientras que se puede deducir mucho de la localización y la información de la interacción con el dispositivo, no hay necesidad de sacar conclusiones sobre las comunicaciones en archivo de texto. Está todo bien como está, como se dice- en tiempo real. No es necesario hacer un análisis.

En un documento secreto, supuestamente robado por el antiguo miembro de la NSA y publicado por The Intercept, la NSA dijo: “[nosotros] hemos implantado con éxito varias máquinas [Gemalto] y creemos que tenemos toda su red…”

La privacidad y la seguridad en las comunicaciones móviles no son las únicas preocupaciones aquí. También hay implicaciones financieras sustanciales por dos razones. Como personal tecnológico de la Unión Estadounidense por las Libertades Civiles, Chris Soghoian, y el criptógrafo de Johns Hopkins, Matthew Green, señalaron en el artículo de The Intercept, que las tarjetas SIM no fueron diseñadas para proteger las comunicaciones individuales. Fueron diseñadas para agilizar el proceso de facturación y evitar que los usuarios defraudaran a sus proveedores de servicio móvil en los primeros tiempos del uso del móvil. En algunas partes del mundo desarrollado, aún dependientes en gran parte de las redes móviles obsoletas y débiles de segunda generación, muchos usuarios confían en sus tarjetas SIM para realizar transferencias de dinero y utilizar servicios de microfinanciación, como el extremadamente popular M-Pesa.

Un ataque a Gemalto potencialmente pone en peligro la integridad de una infraestructura de comunicación global cada vez más dependiente de los dispositivos móviles y las tarjetas SIM que viven dentro de ella

Esto no es simplemente un problema financiero para el mundo en desarrollo: Gemalto es un gran fabricante de microchips en chip y tarjetas de pago PIN o EMV, el principal medio de pago en Europa. Estas tarjetas también pueden ser potencialmente peligrosas. Según The Intercept, los chips de Gemalto también se utilizan como identificadores de entrada en edificios, pasaportes electrónicos, tarjetas de identificación y llaves de automóviles de lujo, como BMW y Audi. Si tienes un chip y una tarjeta PIN de Visa, Mastercard, American Express, JP Morgan Chase o Barclays, entonces hay una posibilidad muy alta de que el chip en tu tarjeta de pago fuera desarrollado por Gemalto y que su contraseña criptográfica esté en peligro.

Por su parte, a pesar de las alegaciones y los supuestos documentos secretos, Gemalto desmiente categóricamente que sus redes de seguridad hayan sido comprometidas.

“No se han encontrado infracciones en la infraestructura que ejecuta nuestra actividad SIM o en otras partes de la red de seguridad que controla otros de nuestros productos, como las tarjetas bancarias, las tarjetas de identificación o los pasaportes electrónicos. Cada una de estas redes está aislada unas de las otras y no están conectadas a ninguna red externa”, declaró la compañía.

Sin embargo, la empresa reconoció que en el pasado hubo intentos frustrados de hackeo, de los que creyó que la NSA y el GCHQ eran responsables.

Otro silencioso y alarmante aspecto de ésta, y muchas de las revelaciones de Snowden, es que el documento está datado en 2010. En otras palabras, este supuesto sistema de tarjetas SIM no sólo ha estado en desarrollo desde hace cinco años, sino que la técnica también tiene cinco años, una vida en la era de los ordenadores.

Más allá del riesgo personal que las contraseñas de las tarjetas SIM representan para tu privacidad individual y colectiva, si los documentos de Snowden son verdaderos, entonces este ataque es una pesadilla de relaciones internacionales. ¿Recuerdas hace dos meses cuando los más extremistas se enfadaron y vacilaron sobre si el ataque de Corea del Norte a Sony Pictures Entertainment había sido un acto de guerra? Bien, ese ataque, pareció ser perpetrado por Corea del Norte y por nadie más, estaba dirigido a un estudio de cine y robó algunos guiones y correos electrónicos. Un ataque a Gemalto potencialmente pone en peligro la integridad de una infraestructura de comunicación global cada vez más dependiente de los dispositivos móviles y las tarjetas SIM que viven dentro de ellos.

Consejos