Tarjetas SIM heackedasCuando hablamos de seguridad informática o sobre los peligros que pueden afectar a nuestras comunicaciones móviles, casi siempre nos referimos a algún malware que explota alguna vulnerabilidad del software que utiliza nuestro ordenador o nuestro smartphone o alguna vulnerabilidad existente en la red o la inconsciencia del usuario. Sin embargo, en esta ocasión hablamos de las tarjetas SIM, la base de todas nuestras comunicaciones móviles, peor aún, es el nexo de unión entre nuestras comunicaciones y la nuestra factura telefónica.

La buena noticia es que esta vulnerabilidad no ha sido descubierta por los ciberdelincuentes, sino por el criptógrafo alemán Karsten Nohl y su equipo, después de tres años de investigación sobre la seguridad de las tarjetas SIM, han descubierto una vulnerabilidad en aquellas tarjetas que usan un estándar criptográfico llamado DES (Digital Encryptation Standard) para cifrar los datos, y además su código está mal configurado, lo cual implica a la octava parte de los 7000 millones de tarjetas SIM del mercado. Este método de encriptación fue creado por IBM en los años 70 y perfeccionado posteriormente por la NSA, aunque la mayoría de fabricantes utilizan una nueva versión de este sistema, no todos lo hacen, así que no se puede saber que dispositivos tienen este tipo de tarjetas y cuáles no.

El fallo de seguridad en las tarjetas SIM fue descubierto al mandar mensajes falsos a diversos dispositivos equipados con estas tarjetas, la cuarta parte respondieron de forma automática en la cual se 56 dígitos correspondientes a la llave de seguridad de la tarjeta. Estos 56 dígitos permiten al hacker validar cualquier malware, de forma que el sistema lo reconocerá como autentico dándole un control absoluto del teléfono. Karsten Nohl afirma que puede mandar SMS de forma indefinida, redirigir llamadas o grabarlas a través de las SIM hackeadas.

Además, el equipo de investigación de Nohl descubrió otro fallo en el lenguaje Java que se utiliza para programar tarjetas SIM, que da acceso al control total de la tarjeta.

En esta ocasión hemos tenido suerte, el fallo no ha sido descubierto por hacker malintencionados y el equipo de Nohl ya está trabajando con los fabricantes para corregir estas vulnerabilidades, antes de que pueda ser un grave problema para los usuarios. Aunque este descubrimiento nos hace pensar ¿Qué hubiera ocurrido si hubiera sido al revés? O ¿Qué ocurrirá si en el futuro pasase al revés?

Estos fallos de seguridad serán presentados en la conferencia de seguridad Black Hat que se celebrara en las Vegas el 31 de Julio.