Finalmente las tarjetas SIM vieron alterada su seguridad y la falla podría afectar a millones de móviles. El investigador de seguridad Karsten Nohl, comentó que algunas tarjetas SIM pueden estar en peligro debido a la mala configuración en el software de Java Card y la debilidad en las claves de cifrado.
Hasta ahora, las tarjetas SIM eran algo totalmente seguro y la información que se almacenaba en ellas no corría ningún riesgo, pero ahora, millones de usuarios de todo el mundo podrían verse afectados por este fallo que se ha descubierto. Los hackers podrían acceder a toda la información almacenada en las tarjetas SIM.
El Doctor en Ingeniería en Informática de la Universidad de Virginia (Estados Unidos) y criptólogo alemán Karsten Nohl, afirmó haber encontrado la clave para conseguir descifrar la clave de acceso única de 56 dígitos con la que cuenta cada tarjeta SIM, trabajo que le ha llevado unos 3 años aproximadamente.
Esta vulnerabilidad podría afectar a varios millones de tarjetas SIM en todo el mundo (unos 750 millones) y según sus cálculos, el 13 por ciento de las SIM del mundo ya habrían sido hackeadas. Este ataque, permitiría rastrear la información y llamadas del usuario, así como los pagos móviles a través de mensajes cortos en aquellos países donde se utiliza este método de pago.
El hackeo descubierto por Karsten Nohl, dejaría las tarjetas SIM completamente vulnerables y expuestas a un ataque externo a través del cual pueden acceder a toda la información contenida en ellas, como los contactos telefónicos, mensajes de texto, llamadas realizadas, etc. Por otro lado, también se podría redireccionar y rastrear las llamadas e incluso grabarlas.
Cabe destacar, por otro lado, que hay países donde se usa de manera frecuente el pago a través de mensajes de texto, algo que podrían utilizar como fraude económico, ya que como tienen acceso a los mensajes de texto podrían hacer uso de ello.
Nohl, que estará presentando sus hallazgos en la conferencia de seguridad Black Hat security conference, en la ciudad de las Vegas, el 31 de julio, dice que su investigación es la primera de este tipo en una década, y se produce después de que él y su equipo probó las vulnerabilidades de 1.000 tarjetas SIM, explotados por el simple envío de SMS ocultos. La falla viene de dos partes: una vieja norma de seguridad y el código mal configurado.
El criptólogo, ha descubierto esta vulnerabilidad a través de dos vías diferentes: Por un lado, a través del protocolo DES, un protocolo de cifrado y seguridad que fue creado por IBM en los años 70, el cual tampoco se había vulnerado hasta ahora. En este aspecto, compañías como la estadounidense AT&T se han desmarcado ya que no usan este protocolo desde hace tiempo. Por otro lado, a través del lenguaje Java Card, a través del cual hay programadas en torno a unos 6.000 millones de tarjetas SIM, y que permitiría hackear las SIM fácilmente a través del envío de un mensaje de texto binario, el cual resultaría invisible para el usuario.
En su estudio, Nohl argumenta, “menos de una cuarta parte de todas las tarjetas SIM que probamos podrían haber sido hackeadas, pero dado que los estándares de encriptación varían ampliamente entre los países, se estima que un octavo de tarjetas SIM en el mundo podría ser vulnerables, cerca de la mitad de mil millones de móviles dispositivos”.
Por su parte, la asociación de operadores y compañías de telefonía móvil (GSMA) se ha puesto manos a la obra y ha comenzado a hablar con las diferentes operadoras para arreglar este gran fallo de seguridad tan pronto como sea posible. Por el momento, comentan que existiría un plazo de unos 6 meses antes de que los hackers comiencen aprovecharse de esta vulnerabilidad, por lo que tienen que dar con la solución antes y evitar así un gran ataque a las SIM de todo el mundo.
“Los servicios de pago como MasterCard, Visa y American Express trabajarán juntos bajo la asociación industrial EMVCo para mejorar los estándares de seguridad para tarjetas inteligentes. El mercado de tarjetas SIM se alimenta casi en su totalidad por los operadores de telefonía móvil, y se suministra con dos proveedores líderes a nivel mundial, Gemalto y Oberthur Technologies. Ambos se han beneficiado en gran medida del enorme crecimiento de los teléfonos móviles: hace dos años había 1 mil millones de tarjetas SIM en todo el mundo, y hoy en día hay más de 5 mil millones”, dijo el analista de ABI Research, John Devlin.
“Vodafone no respondió a preguntas sobre el nivel de cifrado de su tarjetas SIM utilizadas. Tanto Verizon y AT & T, comentaron que sabían de la investigación de Nohl, pero que sus perfiles SIM no eran vulnerables a la falla. AT & T agregó que había utilizado SIMs con triples estándares de cifrado de datos (3DES) por casi una década.
Por su parte, Verizon no especificó porqué sus tarjetas SIMs no eran vulnerables. “Miramos el análisis de Nohl y coincidimos que una mínima parte de las SIMs, producidas con la norma más antigua, podrían ser vulnerables. Ya se proporcionó orientación a los operadores de redes y proveedores de SIM, que pueden verse afectados con la falla”. Comentó el portavoz de Verizon.
Fuente: Forbes.com y MovilZona.es
Millones de tarjetas SIM de todo el mundo podrían ser hackeadas | ebanking.cl http://t.co/gjMCjdMTM5 vía @sharethis