Advierten Que la NSA Habría Hackeado Dos Mil Millones de Tarjetas SIM

La última revelación de Edward Snowden sobre la Agencia de Seguridad Nacional estadounidense es, sin duda, una de las más impactantes: según el ex agente, la NSA y su par

La última revelación de Edward Snowden sobre la Agencia de Seguridad Nacional estadounidense es, sin duda, una de las más impactantes: según el ex agente, la NSA y su par británica, GCHQ, comprometieron las redes de Gemalto y robaron las claves de cifrado que protegen miles de millones de tarjetas SIM.

En caso de probarse estas acusaciones, este hackeo podría poner en serias dudas la integridad de todo el sistema de comunicaciones celulares del mundo. Si bien, esto no quiere decir que tus comunicaciones estén siendo monitoreados en este preciso momento, no debemos refutar esa posibilidad en el corto y mediano plazo.

Si te estás preguntando quién es “Gemalto”, se trata de un fabricante mundial de tarjetas SIM para dispositivos móviles. De hecho, según The Economist, Gemalto produce, a nivel mundial, más tarjetas SIM que cualquier otra corporación del planeta.

Según el artículo de The Intercept en donde estas acusaciones aparecieron por primera vez, se estima que Gemalto produce alrededor de dos mil millones de tarjetas SIM al año. Para poner estas cifras en contexto, en el mundo existen 7.125 millones los seres humanos y alrededor de 7.190 millones de dispositivos móviles. Entre los principales clientes de Gemalto se encuentran los proveedores de servicios móviles: Sprint, AT & T, Verizon, T-Mobile, entre otros. La compañía opera en 85 países y posee más de 40 fábricas distribuidas en todo el globo.

La palabra “SIM” es un acrónimo de Módulo de Identificación del Suscriptor. Una tarjeta SIM es un pequeño circuito integrado que se conecta a un dispositivo móvil. Cada tarjeta contiene la identidad única del suscriptor móvil internacional (IMSI), junto con una clave de autenticación cifrada. En conjunto, esta clave y ese número garantizan que el teléfono del usuario sea, en efecto, su teléfono. Funciona de manera similar a la dupla “usuario-contraseña”, salvo que la primera se encuentra enteramente basada en el hardware, es decir, que no se puede cambiar.

Si la lista maestra de claves cayera en las manos equivocadas, un atacante podría monitorear todas las comunicaciones de voz y los datos de cualquier dispositivo que contenga una tarjeta SIM de Gemalto. Esto quiere decir que, si las acusaciones son ciertas, tanto la NSA como GCHQ tienen la capacidad de controlar grandes cantidades de comunicaciones móviles y de datos de todo el mundo, sin contar con una orden judicial.

Usualmente, se puede escuchar a los medios tradicionales hablar acerca de las actividades de la NSA en relación con los metadatos. Sin embargo, son las fugas como ésta las que realmente deben generar preocupación. Los metadatos pueden decir mucho acerca de dónde ha estado una persona, con quién ha estado asociada o quién es realmente. Un ataque masivo contra las tarjetas SIM o contra los protocolos de cifrado, podría darle a un espía la capacidad de ver el contenido de la correspondencia de los usuarios en texto plano. Todo estaría allí, en tiempo real. No haría falta ningún análisis.

De acuerdo con el documento secreto revelado por el ex contratista de la NSA, y que fue hecho público por The Intercept, el Servicio Secreto estadounidense dijo: “Hemos logrado implantar con éxito varias máquinas [Gemalto] y creemos que tenemos toda la red…”

La privacidad y la seguridad de las comunicaciones móviles no es lo único que genera preocupación. Es vital tomar en consideración las consecuencias financieras, por dos razones. Chris Soghoian, tecnólogo de la Unión Americana de Libertades Civiles, y Matthew Green, asistente de investigación de la Universidad de Johns Hopkins, escribieron en el artículo “The Intercept” que las tarjetas SIM no están diseñadas para proteger comunicaciones individuales. De hecho fueron concebidas para agilizar el proceso de facturación y evitar fraudes a los usuarios de servicios móviles. En algunos países en vías de desarrollo, en los que aún se usan redes celulares obsoletas de segunda generación, hay usuarios que confían en sus tarjetas SIM para la transferencia de dinero y servicios microfinancieros como el popular M-Pesa.

Un ataque a Gemalto compromete de manera importante la integridad de la infraestructura de comunicación global, cada vez más dependiente de los dispositivos móviles y de sus tarjetas SIM.

Esto no es simplemente un problema financiero para las naciones en desarrollo: Gemalto es un importante fabricante de los microchips, PIN y tarjetas de pago EMV, el principal método de pago en Europa. Dichas tarjetas podrían potencialmente estar en peligro también. De acuerdo con el artículo, los chips de Gemalto también se usan como tokens para ingresar a edificios, como pasaportes electrónicos, tarjetas de identificación y, también, como claves para determinados automóviles de lujo, como BMW y Audi, entre otros. Así que si tienes una tarjeta con chip y PIN de Visa, Mastercard, American Express, JP Morgan Chase o Barclays, entonces es bastante probable que el chip en tu tarjeta de pago haya sido desarrollada por Gemalto y que la clave criptográfica esté en aprietos.

Por otra parte, y a pesar de las alegaciones y documentos supuestamente secretos, Gemalto niega rotundamente que sus redes hayan estado comprometidas.

“No se encontraron brechas en la infraestructura de nuestra actividad SIM ni en otras partes de la red que gestionan nuestros otros productos, tales como tarjetas bancarias, tarjetas de identificación o pasaportes electrónicos. Cada una de estas redes está aislada unas de otras y no están conectadas a redes externas “, dijo la compañía en un comunicado.

Sin embargo, la empresa reconoció que en el pasado no habían sido frustrados los intentos de hackeo, hecho que se cree fue articulado por la NSA y GCHQ.

Otro aspecto preocupante de esta y muchas de las revelaciones de Snowden es que el documento tiene fecha en 2010. En otras palabras, este supuesto sistema de tarjetas SIM no sólo ha estado en marcha desde hace cinco años, ¡su técnica también! Toda una vida en años de computadora… Más allá del peligro que las claves de las tarjetas SIM representan para la privacidad individual y colectiva, de ser legítimos los documentos de Snowden, el ataque sería una pesadilla desde el punto de vista de las relaciones internacionales. Recordemos el acto de guerra que hace dos meses Corea del Norte propinó a Sony Pictures Entertainment. Bueno, ese suceso afectó guiones de cine y correos electrónicos. Con lo cual un ataque a Gemalto pone en peligro la integridad de una infraestructura de comunicación global cada vez más dependiente de los dispositivos móviles y, por añadidura, de sus las tarjetas SIM.

 

Traducido por: Guillermo Vidal Quinteiro y Maximiliano De Benedetto

Consejos