Un reciente informe de seguridad empresarial revela que en la primera mitad de 2016 el robo de datos digitales en las empresas creció 15 por ciento a nivel mundial. Además, el documento señala que el 27 por ciento de las compañías consultadas sufrieron algún ataque a sus perímetros de seguridad digital en el último año. 

El informe de Gemalto, denominado ‘Breach Level Index’, muestra que cada hora se roban más de cien mil registros digitales a nivel mundial, delitos que en más de la mitad de los casos tienen como objetivo la suplantación de identidades.

Al analizar los sectores más afectados por el robo de datos digitales, las entidades relacionadas con el sector salud aparecen en la primera posición con un 27 por ciento del total de los ataques. La lista la completan las entidades gubernamentales (14 por ciento) y el sector financiero (12 por ciento).

Robo de datos en Colombia

Latinoamérica aparece como la región del mundo en la que menos se presentaron incidentes de robo de datos, con menos del uno por ciento del total de los ataques registrados (cuatro en total).

Sin embargo, llama la atención que Colombia fue objetivo en tres de esos cuatro casos de robo de datos a empresas. Cifras de la firma encargada del estudio señalan que desde 2013 en Colombia se han registrado 2.800 casos de robo o pérdida de datos empresariales.

“Las empresas deben comprender cuáles son los datos más sensibles, dónde se almacenan y utilizar las mejores y más sofisticadas herramientas para protegerlos, como una sólida autenticación y encriptación de la información, que harán más difícil o  casi imposible el trabajo para los delincuentes”, destacó Daniel Cuéllar, vicepresidente para el Pacto Andino y el Caribe en Gemalto.

Norteamérica aparece como el principal destino de los ataques contra empresas. Países como Estados Unidos, Canadá, México y Panamá sufrieron el 79 por ciento de los ataques registrados durante la primera mitad del año.

Imagen: Yuri Samoilov (vía Flickr)

A medida en que se popularicen los pagos móviles, podríamos tener un futuro sin tarjetas de crédito físicas, y probablemente, las diferentes compañías detrás de las tarjetas de crédito deben evolucionar también. Mientras eso ocurre, los fabricantes deben pensar en cómo hacer más seguros los actuales medios de pago. Por ejemplo, Gemalto presentó hace unas semanas sus nuevas tarjetas con códigos dinámicos, lo que hace más difícil que haya fraude electrónico por robo de los datos de la tarjeta.

Las tarjetas actuales tienen un código de seguridad que, junto con la fecha de vencimiento del plástico, permiten identificar el usuario ante una transacción. Este código está ubicado en la parte posterior de la mayoría de tarjetas, si bien en otras como las American Express se encuentra en la parte frontal.

Esta nueva generación de tarjetas de crédito permite usar la tokenización en las transacciones, para minimizar el robo de datos, en especial en transacciones por internet. La tokenización implica usar un número que cambia en el tiempo, para proteger otros datos sensibles. Es decir que si alguien logra robar los datos de alguien, no podrá hacer pagos debido a que hay uno de ellos que es dinámico.

De esta forma, estas tarjetas cuentan con una pequeña pantalla donde se mostrará un código de verificación que cambia con el tiempo, de manera similar a como funcionan los tokens de los bancos actualmente. En este caso, se espera que la batería que alimenta la pequeña pantalla tenga una duración de cuatro años. Adicionalmente, dependiendo de la elección de cada banco, estos códigos también pueden venir en conjunto con una aplicación móvil desarrollada para tal fin.

De acuerdo con Orlando Arzuza, gerente de transacciones seguras de Gemalto para la región andina y el Caribe, la compañía esta trabajando para que próximamente los bancos locales puedan ofrecer este tipo de tarjetas, tanto la versión con pantalla como la versión que funciona con aplicación móvil. La ventaja de la tarjeta con pantalla es precisamente que no depende de otro dispositivo a la hora de hacer los pagos, pero es igualmente segura.

Como vemos, con la implementación de los pagos por medios no tradicionales, los usuarios comenzaremos a ver mayor uso de los tokens y códigos dinámicos, pues actualmente es una de las formas con las cuales se pueden efectuar pagos seguros.

Imagen: Gemalto y corund (vía Shutterstock).

A partir de ese momento, la compañía comenzó una investigación con la que llegó a las siguientes conclusiones, de acuerdo con un comunicado de prensa:

En primer lugar, Gemalto aceptó que una operación no autorizada por parte de la NSA y el GCHQ probablemente sí ocurrió en 2010 y 2011. Sin embargo, estos ataques tan solo alcanzaron las redes de su oficina –es decir, las redes utilizadas por los empleados para comunicarse entre ellos y con el mundo exterior– lo cual no significa ‘per se‘ que haya habido un robo masivo de claves de cifrado de las tarjetas SIM.

Esta operación apuntaba a interceptar las claves en el momento de la transferencia entre los operadores móviles y sus proveedores a nivel global. Sin embargo, para 2010, la compañía ya había desplegado un sistema de transferencia de datos segura con sus clientes y este robo solo pudo haberse cometido en una rara excepción. Además, en un caso eventual de robo, los servicios de inteligencia solo habrían podido espiar en comunicaciones hechas a través de redes 2G, ya que las redes 3G y 4G no son vulnerables a este tipo de ataque.

De acuerdo con Gemalto, tan solo las comunicaciones en redes 2G serían vulnerables

Gemalto aseguró que no ha habido impacto sobre ninguno de sus productos a raíz del ataque conocido en los últimos días. Por último, afirmó que las mejores defensas contra este tipo de ataques son el cifrado sistemático de datos cuando se guardan y cuando se transfieren, así como el uso de tarjetas SIM recientes y de algoritmos personalizados para cada operador.

Gemalto no dejó contento a todo el mundo

Sin embargo, en respuesta a las declaraciones de Gemalto en la mañana del miércoles, The Incercept, el mismo medio que informó inicialmente acerca del robo de las claves de cifrado de millones de tarjetas SIM, afirmó que algunas de las explicaciones de parte de Gemalto podrían estar erradas, de acuerdo con la opinión de expertos en criptografía.

En la nota, el experto en seguridad Ronald Prins, cofundador de la compañía holandesa Fox IT aseguró que “una verdadera investigación forense de un ambiente tan complejo no es posible en ese periodo de tiempo“, haciendo referencia a los seis días que le tomó a Gemalto dar las declaraciones. Adicionalmente, Matthew Green, especialista en criptografía del Instituto de Seguridad Johns Hopkins, afirmó que “ningún mecanismo de cifrado es inmune al robo de claves, lo que significa que Gemalto está convencido de que ninguna clave adicional pudo haber sido robada o están diciendo que sus mecanismos tienen algún ‘ingrediente secreto’ propio y que el GCHQ, apoyado por recursos de la NSA, no pudo haber hecho ingeniería inversa sobre ellos. La anterior es una declaración muy preocupante”.

La investigación de Gemalto tan solo duró seis días

De acuerdo con el medio, las declaraciones de Gemalto parecieran estar dirigidas a tranquilizar al público con respecto a la seguridad de la compañía, más allá que demostrar que de verdad están tomando este robo seriamente. Con respecto a este tema, Green aseguró que este episodio debería ser “un llamado de atención para los fabricantes pues estos son considerados objetivos valiosos para las agencias de inteligencia. Hay muchos esfuerzos para minimizar y negar el impacto de algunos ataques viejos, pero ¿a quién le importan los ataques pasados? Lo que me gustaría ver es algún indicio de que los fabricantes están tomando esto seriamente hacia el futuro, de que están fortaleciendo sus sistemas y cerrando cualquier hueco de seguridad – debido a que estos claramente existen. Eso me haría confiar mucho más en esta respuesta”

Claramente Gemalto deberá invertir una gran cantidad de recursos, en tiempo y dinero, para mejorar –o demostrar– la confiabilidad- de sus sistemas de seguridad. Varios operadores como Deutsche Telekom y China Mobile han tomado medidas tanto a nivel de su seguridad como de exigencias a Gemalto, uno de sus mayores proveedores de tarjetas SIM.

Lo que queda claro frente a este caso, más allá de lo ocurrido, es que las compañías deben trabajar constantemente en fortalecer su seguridad, y que este será un proceso inacabado en el que siempre habrá oportunidad de mejora. Así, es probable que en el futuro sigamos viendo episodios como el de Sony o la operación Carbanak. Las estrategias de seguridad deben estar en todos los niveles, incluso en elementos tan cotidianos como nuestros automóviles.

Imagen: Simon Yeo (vía Flickr).

De acuerdo con el medio, espías de Estados Unidos y el Reino Unido robaron las claves de cifrado de una gran cantidad de tarjetas SIM de Gemalto. Estas llaves son usadas para proteger las comunicaciones celulares alrededor del mundo. Esta información fue conocida gracias a Edward Snowden, famoso por revelar varios de los actos de violación de seguridad perpetrados por la NSA.

El hecho se encuentra detallado en un documento secreto de la GCHQ de 2010. A través de este acceso, las agencias de seguridad tienen la posibilidad de monitorear de manera secreta una gran cantidad de comunicaciones celulares alrededor del mundo, tanto de voz como de datos. Es decir, para hacerlo no necesitan la aprobación de los operadores ni de los gobiernos de ningún país, de acuerdo con la nota de The Intercept.

Adicionalmente, la compañía Gemalto afirmó no estar enterada de la situación y que investigará hasta qué grado fue realizada la interceptación de sus claves de cifrado y cómo fue realizado el hecho, para tomar medidas. En los últimos años, debido a la llegada de la red 4G LTE a nuestro país, los operadores comenzaron una campaña para cambiar las tarjetas SIM por las de nueva generación, en especial porque estas ‘eran más seguras’. Sin embargo, por el momento no se sabe a ciencia cierta cuántas personas ni de qué países u operadores podrían estar en riesgo de interceptación.

Por el momento no se conoce el alcance que podría tener el robo de claves de las tarjetas SIM de Gemalto

De acuerdo con el medio, la privacidad de las telecomunicaciones, hoy en día, depende de una conexión cifrada entre el celular y el operador, gracias a las claves guardadas en la tarjeta SIM. Sin embargo, las tarjetas SIM no fueron inventadas con este único objetivo, sino para simplificar la vida de las operadoras, pues estas ayudan a prevenir fraudes como los números clonados. Debido a esto, los fabricantes de tarjetas SIM y los operadores no han realizado esfuerzos en fortalecer sus procesos –como los de proteger las claves de las tarjetas–.

Recientemente vimos un caso curioso donde algunas personas obsesionadas por la seguridad de sus comunicaciones, como los vendedores de drogas en el Reino Unido, estaban utilizando celulares convencionales como el Nokia 8210 para no ser rastreados en su ubicación. Sin embargo, el acceso que puede proporcionar robos de claves como el perpetrado por la NSA y el GCHQ podrían sacar mucha más información que solo la ubicación del usuario.

En últimas, conocer esta información no debería asustarnos, y más bien como usuarios deberíamos ser conscientes de que la privacidad en las telecomunicaciones es mínima y de esa forma, tomar medidas para evitar ‘dar papaya’.

Actualización

La compañía fabricante de tarjetas SIM Gemalto emitió la siguiente declaración con respecto a la publicación de The Intercept:

“En el mundo digital en el que todos vivimos, Gemalto está especialmente alerta contra hackers maliciosos y por supuesto ha detectado y mitigado muchos tipos de atentados en los últimos años y, actualmente, no puede vincular ninguno de esos intentos pasados con lo que fue informado por la publicación norteamericana The//INTERCEPT. Tomamos muy seriamente esta publicación y dedicaremos todos los recursos necesarios para investigar y comprender plenamente el alcance de dicha técnica altamente sofisticada para tratar de obtener información de la tarjeta SIM. Por lo que sabemos hasta este momento, el objetivo no fue Gemalto, per se – fue un intento para tratar de llegar al máximo número de teléfonos móviles posible. Últimamente se han reportado muchos ataques respaldados por algunos estados, que han atraído la atención tanto de los medios como de las empresas, esto realmente enfatiza la importancia de la seguridad cibernética en esta era”.

Imagen: NorGal (vía Shutterstock).

En los viejos tiempos, la gente cambiaba de equipos móviles, pero no de tarjetas SIM. En ella no solo se guardaba el número, sino también los contactos –al menos antes de la llegada de la nube–. Luego, cuando llegaron los teléfonos con microSIM y nanoSIM, los usuarios más arriesgados la cortaban para no perderla. Esto cambió con 4G.

Hoy, si usted contrata una conexión a 4G LTE, su operador le entregará una nueva tarjeta SIM para su dispositivo. De hecho, a mediano plazo la idea de empresas como Tigo es lograr que todas las tarjetas sean compatibles con esa tecnología, así no todos los usuarios tengan contrato de datos móviles. ¿Por qué?

Las nuevas tarjetas, que se llaman UICC (inglés para Tarjeta Integrada de Circuito Universal) tienen dos ventajas sobre sus antecesoras. En primer lugar, son más seguras. Como explica Daniel Cuéllar, gerente de ventas de telecomunicaciones de Gemalto –una de las empresas fabricantes de estas tarjetas–, “con esta nueva generación, los sistemas de seguridad para la autenticación de los usuarios se hacen más fuertes“, pues mejora la identificación del usuario con el operador.

En segundo lugar, les permiten a los operadores habilitar más funcionalidades directamente desde el ‘chip’, sin pasar por internet o tiendas de aplicaciones. “Los operadores y usuarios podrán contar con una tarjeta inteligente para la habilitación y asignación de servicios según sus preferencias“, explica Cuéllar. Las nuevas tarjetas permiten activar y desactivar servicios y aplicaciones según las preferencias del suscriptor, y mantener estos perfiles si cambia el dispositivo.

Físicamente, son un poco más gruesas que las anteriores. En su interior tienen un microprocesador y memorias RAM y ROM, donde pueden almacenar software e información. Vienen en los tamaños estándar de las tarjetas SIM –normal, micro y nano–, por lo que son utilizables en todos los teléfonos.

Estas tarjetas, además, son compatibles con las redes 3G y 4G, y podrían ser utilizadas para habilitar pagos móviles. Las tarjetas SIM, en cambio, no pueden autenticarse en redes de 4G LTE.

Imagen: ENTER.CO

El Congreso Mundial de Móviles sigue siendo el centro de atención en materia tecnológica. Ayer, entre las novedades que llamaron la atención en el certamen estuvieron presentes el nuevo smartphone Pro de Motorola, el Optimus Pad de LG, y en materia de noticias la revelación que hizo Nokía en la que admite que, previo a su unión con Microsoft, le dijo no a Android.

Esta vez el turno es para otra de las novedades en los servicios de la telefonía móvil. Durante el certamen en Barcelona, Gemalto presentó una tecnología –disponible en países como Japón y Corea– que permite realizar pagos con el celular compatible con ciertos equipos.

En el siguiente video uno de los representantes de la compañía explica el funcionamiento de esta nueva tecnología y en qué momento va a llegar a los países de Latinoamérica:

Siga a @ENTERCO en Twitter para ver cubrimiento minuto a minuto del MWC 2011 en Barcelona.