A principios de esta semana, Karsten Nohl, investigador de seguridad de Laboratorios SR, reveló su descubrimiento de un enorme agujero en el cifrado de la tarjeta SIM que podría dejar hasta 750 millones de los 7 mil millones de dispositivos con tarjeta SIM en el mundo vulnerables a ataques. No sólo las típicas travesuras de piratería: si la tarjeta SIM de su teléfono está comprometida, es el equivalente telefónico al robo de identidad. Un intruso puede causar mucho daño.
Una tarjeta SIM (o módulo de identidad del suscriptor) le dice a su proveedor de servicios inalámbricos quién es usted y que puede confiar en usted. Los piratas informáticos que explotan su tarjeta SIM podrían acceder a la cuenta de su proveedor de servicios inalámbricos, a algunos mensajes de texto y contactos, y a la información de identificación de su red. Usando esta información, podrían modificar su cuenta de operador, redirigir sus llamadas telefónicas, clonar su número de teléfono a otro teléfono, robar sus credenciales de pago. (incluidas algunas aplicaciones de pago NFC), cambiar su correo de voz, enviar mensajes de texto como usted y obtener su ubicación exacta haciendo ping a su proveedor, entre otras cosas. La lista de actos viles posibles con el acceso a la tarjeta SIM es larga, y entrar en tu teléfono es casi tan fácil como enviar un mensaje de texto.
Vídeos recomendados
Los usuarios de AT&T, Sprint, T-Mobile y Verizon están seguros
Por suerte, es posible que no tengas que preocuparte. A pesar de los muchos informes vagos y aterradores En circulación, si vives en Estados Unidos, tu tarjeta SIM (esa pequeña tarjeta que normalmente se encuentra debajo de la batería de tu teléfono) probablemente no corra riesgo de ser pirateada.
Representantes de los cuatro principales proveedores de servicios inalámbricos de Estados Unidos (AT&T, Sprint, T-Mobile y Verizon) han confirmado con Digital Trends que no utilizan el antiguo DES de 56 bits (Estándar de cifrado de datos) SIM que son vulnerables al exploit de Nohl. Este antiguo estándar de 1977 todavía se utiliza en algunas áreas del mundo y es mucho menos seguro que los estándares más nuevos de 1998 como AES (Estándar de cifrado avanzado) y DES triple. Esto significa que la gran mayoría de los suscriptores en Estados Unidos están a salvo. La mayoría de los operadores más pequeños como Virgin, Boost, Ting y otros se aprovechan de las redes de los principales operadores, lo que los mantiene también a salvo de este exploit.
Si tienes un teléfono que tiene casi siete años, compra uno nuevo. De lo contrario, estás a salvo.
Sprint y Verizon, que no usaron tarjetas SIM en absoluto hasta que comenzaron a implementar redes 4G LTE de alta velocidad, nos dijeron que "el 100 por ciento" de sus tarjetas SIM utilizan estándares de cifrado más nuevos y seguros.
"Las tarjetas SIM de Verizon no son vulnerables a este posible ataque debido a la forma en que están diseñadas y fabricadas", dijo un representante de Verizon. "Nos tomamos muy en serio la privacidad y seguridad de nuestros clientes y continuaremos trabajando con nuestros proveedores de tarjetas SIM, grupos industriales y otros para prevenir y frustrar cualquier problema de seguridad".
AT&T y T-Mobile utilizaron el vulnerable estándar DES en el pasado, pero han utilizado Triple DES durante muchos años. Los representantes de AT&T dijeron que no han utilizado el estándar pirateable durante "casi una década". T-Mobile no ha usado durante “al menos siete años”. Si tienes un teléfono que tiene casi siete años, compra uno nuevo. uno. De lo contrario, estás a salvo. Los representantes de T-Mobile también confirmaron con nosotros que los suscriptores de Metro PCS también están seguros.
Otra razón para no preocuparse
Pero, ¿qué debería hacer si no utiliza una de las grandes compañías aéreas estadounidenses o una proveedor más pequeño que utiliza una de sus redes? ¿Deberías estar preocupado? Nohl dice que todos deberían mantener la calma.
"Por el momento, no hay motivo para preocuparse, ya que los delincuentes probablemente tardarán meses en volver a implementar los resultados de la investigación", dice Nohl a Digital Trends. "Si, cuando lo hagan, las redes no han implementado defensas de red ni han actualizado sus tarjetas SIM de forma remota, puede que sea el momento de solicitar una nueva tarjeta SIM". Él añade, "Es probable que aún falten meses para el abuso", y que SR Labs compartió los resultados "hace varios meses y ha estado en un diálogo muy constructivo con los transportistas desde siempre". desde."
El equipo de Nohl pasó tres años y probó más de 1.000 tarjetas SIM para descubrir el error. Nohl lo hará hablar con más detalle sobre la vulnerabilidad en la conferencia de seguridad BlackHat el 1 de agosto de 2013.
Qué hacer si todavía estás preocupado
Si no vive en los Estados Unidos o no conoce el estado de su proveedor, lo mejor que puede hacer es llamar a su proveedor de telefonía móvil y preguntar.
"Pedir más información al proveedor de servicios es actualmente la mejor opción", afirmó Roel Schouwenberg, investigador senior de seguridad de Laboratorio Kaspersky. "Esperamos que actúen rápidamente y proporcionen más información en sus sitios web en breve".
"Esta noticia debería servir como una llamada de atención para cualquier proveedor de servicios que todavía utilice tecnología obsoleta". añade Schouwenberg, “además de resaltar la importancia de impulsar nuevos desarrollos de seguridad cuando posible."
Schouwenberg señala que no existe una solución rápida para este exploit de la tarjeta SIM si la tienes. Los teléfonos afectados por la vulnerabilidad de la tarjeta SIM (como los teléfonos plegables más antiguos) no tienen acceso a ningún tipo de software de seguridad que pueda ayudar a prevenir ataques. Pero si estás en los Estados Unidos, probablemente estés a salvo. Si no es así, tiene algunos meses para cambiar a un proveedor más actualizado.
Actualizado el 25 de julio de 2013 por Jeffrey Van Camp: Podemos confirmar que Metro PCS también utiliza Triple DES, por lo que los usuarios de ese servicio, que ahora es propiedad de T-Mobile, están a salvo de esta vulnerabilidad.
Artículo publicado originalmente el 24 de julio de 2013.
Recomendaciones de los editores
- La característica más molesta del iPhone 14 podría ser peor en el iPhone 15
- ¿El iPhone 14 tiene tarjeta SIM?
