Que panda el cúnico, que punda el cánico, que pandu el cónica… bueno, algunos están tan asustados que ni siquiera pueden gritar su miedo correctamente! Y no es para menos, un fallo de seguridad en el 13% de las tarjetas SIM ha sido descubierto por investigadores de seguridad y pone en riesgo a 500 millones de teléfonos móviles en el mundo. Antes consideradas invulnerables y totalmente seguras, el mito ha caído cuando han descubierto cómo hackear tarjetas SIM aprovechando una vulnerabilidad de Java Card y la falta de cifrado digital DES.
Se calcula que en el mundo hay casi tantos móviles en uso como personas viviendo en él, y según la ONU esto está dado ya que una grande parte de la población tiene dos o más móviles a su cargo, sin contar con los que las empresas tienen a su disposición para sus empleados. Dentro de este número hay móviles de toda gama, desde los más básicos hasta los últimos modelos, pero hay algo que todos los móviles con tecnología GSM tienen en común: la tarjeta SIM. Este nexo entre nuestro móvil y la empresa de telefonía, que contiene nuestra información personal, nuestros contactos, mensajes recibidos y mucha data relevante más, se sabía seguro e inviolable hasta hace unos días. Ayer, una empresa de seguridad alemana, a través de Karsten Nohl, ha dado una entrevista a la revista de economía y negocios Forbes en donde explicaba que había descubierto cómo hackear tarjeta SIM, rompiendo el mito que se había mantenido durante décadas.
Luego de tres años de intensa labor en la elaboración de análisis sobre el lenjuage y la metodología de protección de las tarjetas SIM, Nohl dio con la manera de hackear a un 13% de los modelos de tarjeta SIM que existen en el mundo. Aunque no parezca tanto, el número correspondiente a este porcentaje, según la ONU, sería de entre 400 y 500 millones de móviles. A nivel técnico, el fallo parece estar ligado al sistema de codificación que tiene en común este porcentaje de las tarjetas SIM del mundo, el Java Card. Este lenguaje de programación también se utiliza para más de seis mil millones de tarjetas SIM más, por lo que quedan dudas sobre qué otro factor existe para que el porcentaje sea acotado. Por otra parte, la segunda vulnerabilidad referencia por el experto fue la falta de encriptación DES (IBM, 1970), ya que en la actualidad se protegen los datos con 3DS, un protocolo nuevo según AT&T no es vulnerable en absoluto. A esperas de más detalles técnicos al respecto para el público interesado, el experto obró correctamente al avisar a GSMA para que se tomen cartas en el asunto y se rediseñen las nuevas SIM o se realicen parches para solucionar el error.
En plena paranoia por la afrenta pública que ha hecho la NSA con PRISM, el resultado de este estudio levantó polvareda y se está discutiendo en muchos medios, propiciando una declaración de preocupación por parte de la ONU. Aun así, Nohl asistió a la conferencia Black Hat 2013 y ahí manifestó que no había nada que temer, porque era imposible que la información que él recabo cayera en manos malintencionadas y que además ya había avisado a los responsables. Fiu…