Un 13 % aproximado de tarjetas SIM de todo el mundo han sido hackeadas. Este hackeo de tarjetas SIM permite rastrear la información y llamadas del usuario, así como los pagos móviles en países donde se ejecutan desde mensajes cortos.
Tarjetas SIM de medio mundo pueden estar hackeadas. Así de cruda ha pintado la realidad Karsten Nohl, investigador de seguridad alemán, contando a Forbes cómo lo ha hecho para hackear estas tarjetas. Según cuenta, estuvo tres años hasta dar con la forma de hackearlas, y según calcula, el 13 % de las SIM del mundo están hackeadas. El resultado, millones de usuarios expuestos a este grave fallo, en un componente considerado hasta ahora como completamente seguro. Mientras que la seguridad ha sido una preocupación en los teléfonos y smartphones de nueva fabricación, la SIM parecía algo ajeno a estos problemas.
El hackeo permite el espionaje del usuario y sus conversaciones telefónicas, e incluso pagos móvilesNo ha sido así, y el hackeo de tarjetas SIM que ha admitido Nohl deja la SIM completamente expuesta a un espionaje externo. Desde poder copiar toda su información (lista de contactos, SMS, lista de llamadas…) hasta redireccionar y rastrear las llamadas, así como grabarlas. En determinados países, donde los pagos por SMS están muy implantados, también poder utilizar este sistema como fraude económico. ¿Cómo se ha encontrado esta vulnerabilidad? Por un lado, con elprotocolo DES, un protocolo de cifrado y seguridad creado por IBM en la década de los 70, no vulnerado hasta ahora. No obstante, algunas operadoras se han desmarcado de este problema, pues algunas como AT&T no utilizan ya este protocolo. De otro lado, el lenguajeJava Card, mediante el cual se han programado unas 6.000 millones de tarjetas SIM, y que haría posible hackear tarjetas SIM con enviar un SMS binario, invisible para el usuario.
GSMA, la asociación de operadores y compañías de la tecnología móvil, ya está en conversaciones con las operadoras para solventar este grave fallo de seguridad en forma de hackeo de tarjetas SIM. Se calcula que hay un plazo de seis meses hasta que los hackers puedan aprovechar esta vulnerabilidad. Ese es el tiempo que tienen las operadoras y los fabricantes para encontrar una solución global.