Empresas telefónicas arreglan vulnerabilidad en tarjetas SIM
Las principales empresas proveedoras de servicios inalámbricos arreglaron un error que habría permitido que los delincuentes penetraran en cientos de millones de teléfonos celulares, afirma un experto de seguridad que desenmascaró la falla.
El criptógrafo Karlsten Nohl, de los Laboratorios de Investigaciones sobre Seguridad en Alemania, dice que descubrió la falla tras dedicar tres años a descubrir cómo hackear las tarjetas SIM, esas pequeñas tarjetas extraíbles de plástico que se encuentran en teléfonos celulares y otros dispositivos móviles.
Nohl tuvo acceso a las tarjetas SIM al explotar los errores en las claves de cifrado y al enviar un mensaje de texto SMS oculto. Las tarjetas SIM pueden identificar al dueño de un teléfono y almacenar algunos datos personales confidenciales, como información sobre pagos.
Los hallazgos de Nohl tuvieron eco en todo el sector inalámbrico cuando se revelaron el 21 de julio. Aunque se sabe que los teléfonos son susceptibles a una variedad de problemas de seguridad y ataques, se consideraba que la vieja y confiable tarjeta SIM era segura.
Nohl habría demostrado el miércoles su intrusión a la tarjeta SIM en la Black Hat, la conferencia de seguridad para computadoras que se celebra en Las Vegas. No obstante, anunció que cinco empresas proveedoras de servicios inalámbricos se habían apresurado a publicar actualizaciones que arreglaban el problema.
A causa de la corrección, solo pudo demostrar algunas partes de la intrusión. Nohl se negó a decir cuáles eran las empresas involucradas.
Para los proveedores de servicios inalámbricos, el reemplazar físicamente millones de tarjetas SIM comprometidas en todo el mundo habría sido una labor costosa y ardua y habría sido un riesgo de seguridad para los propietarios de teléfonos. En cambio, las empresas idearon una solución más creativa: aprovecharon la misma vulnerabilidad en Java que Nohl descubrió y la usaron para penetrar en sus propias tarjetas y reescribir partes de su sistema operativo.
Nohl aplaudió la rápida acción de los proveedores.
"Están adoptando métodos de hackeo para hacerlas más seguras", dijo durante una conferencia de prensa antes de su discurso. "El abusar de las vulnerabilidades de Java para actualizar la tarjeta es el final más limpio para esto".
Al acceder a la tarjeta SIM de un teléfono, los delincuentes podrían ejecutar una variedad de ataques. Podrían hacer cargos en una cuenta telefónica, interceptar llamadas, controlar teléfonos a distancia, rastrear la ubicación de los dispositivos e incluso acceder a información financiera. La falla podría ser especialmente dañina en sitios como África, en donde muchas personas usan sus teléfonos no solo para comunicarse, sino como sistemas de banca móvil.
La corrección rápida de parte de una empresa es el resultado ideal para los llamados "hackers de sombrero blanco" como Nohl, quienes dedican su tiempo a encontrar posibles debilidades en sistemas computacionales antes de que los delincuentes puedan explotarlos. Cada año, en la Black Hat, los investigadores presentan sus hallazgos y hackeos más recientes.
Los hackers típicamente reciben reacciones variadas de las empresas al exponer sus vulnerabilidades. Mientras que algunas reconocen los problemas y responden con una corrección rápida, otras esperan hasta que los delincuentes explotan una falla para actuar.
Nohl dijo este miércoles que las empresas aún no han reparado la mayoría de las demás fallas en computadoras que encontró durante los últimos cuatro años.