Gemalto ha lanzado un comunicado para responder a las informaciones reveladas hace unos días por The Intercept, a raíz de nuevos documentos presentados por Edward Snowden. En ellos se desvelaba una operación conjunta de los servicios de inteligencia británico y estadounidense, el GCHQ y la NSA, que habría dado como resultado el robo masivo de las claves de cifrado de las tarjetas SIM, de tal manera que las agencias tendrían acceso a las comunicaciones, por voz y datos, de los usuarios móviles.
En su comunicado, Gemalto, que es el mayor proveedor de SIM a nivel mundial, confirma que recibió ataques sofisticados entre 2010 y 2011 –las fechas señaladas por los documentos de Snowden– que dan pie a “creer que la operación de la NSA y el GCHQ tuvo lugar probablemente”.
Sin embargo, la compañía resta importancia a las consecuencias. “Los ataques contra Gemalto solo traspasaron sus redes para las oficinas y podrían no haber resultado en un robo masivo de las claves de cifrado de tarjetas SIM”, se puede leer en el comunicado. La ambigüedad de estas palabras deja la puerta abierta a que la operación realmente sí haya alcanzado las claves de cifrado de las SIM. El artículo publicado por The Intercept afirma que las actividades de las agencias de espionaje no dejaban rastro.
El proveedor señala que las intrusiones solo afectaron a las partes externas de su red, las que están en contacto con el mundo exterior. Las claves de cifrado de las tarjetas SIM y otra información acerca de sus clientes no se almacenan en esta red. Gemalto, que ha llevado a cabo la investigación con sus sistemas de detección de malware y su equipo de seguridad, indica que no detectaron ninguna intrusión en otras partes de su red, donde se almacenan datos más sensibles, como los relativos a las SIM, las tarjetas bancarias o los pasaportes electrónicos. Cada uno de estos productos tiene su propia red, aislada del resto y del exterior. La compañía afirma que ninguno de sus productos se vio afectado por los ataques detectados.
El fabricante asegura que en caso de haberse producido un robo de tarjetas SIM los atacantes solo habrían podido acceder a las comunicaciones de las redes móviles 2G. Las conexiones 3G y 4G son más seguras y Gemalto no las considera vulnerables a este tipo de ataques.
El comunicado explica que entre 2010 y 2011 la mayoría de los operadores usaban redes 2G, una tecnología cuya seguridad se había desarrollado en los años 80. Por tanto, si las agencias de espionaje hubieran podido acceder a las claves de cifrado de estas tarjetas les sería técnicamente posible interceptar las comunicaciones. Si bien la mayoría de las tarjetas con 2G en esos momentos pertenecían a productos de prepago, que suelen tener una vida limitada, entre tres y seis meses.
Los estándares 2G se reforzaron con la introducción de algoritmos propietarios. La seguridad continuó aumentando con la llegada del 3G y el 4G, que cuentan con un cifrado adicional. Gemalto señala que si las claves de tarjetas SIM 3G o 4G son descifradas seguiría siendo imposible espiar las comunicaciones.
La defensa contra estos ataques
Gemalto afirma que la mejor defensa contra este tipo de ataques es un cifrado sistemático de la información, tanto cuando está almacenada como cuando viaja. La compañía recuerda que la seguridad digital hoy en día no es estática, pues constantemente se están mejorando las garantías para hacer frente a ataques cada vez más sofisticados.
La compañía señala que para las redes 3G y 4G se llevó a cabo un nuevo desarrollo tecnológico, un salto cualitativo respecto al 2G. Antes de 2010 ya se había implantado un proceso alta seguridad para el intercambio de datos. De hecho, en el artículo de The Intercept se cita a Paquistán, donde las agencias de espionaje no lograron acceder a las comunicaciones. El comunicado destaca que la transmisión de información entre las operadoras paquistaníes y Gemlato ya usaba en ese momento un proceso de intercambio de alta seguridad.
El proveedor afirma ser consciente de la capacidad que tienen “las agencias estatales más prominentes”, de las que dice “tienen recursos y apoyo legal para ir más allá que los típicos hackers y organizaciones criminales”. También quiere dejar claro que los documentos de Snowden no se refieren solo a ella, pues nunca ha vendido tarjetas SIM a algunas de las operadoras que figuran en los documentos.
Imagen: NightRStar