A partir de ese momento, la compañía comenzó una investigación con la que llegó a las siguientes conclusiones, de acuerdo con un comunicado de prensa:

En primer lugar, Gemalto aceptó que una operación no autorizada por parte de la NSA y el GCHQ probablemente sí ocurrió en 2010 y 2011. Sin embargo, estos ataques tan solo alcanzaron las redes de su oficina –es decir, las redes utilizadas por los empleados para comunicarse entre ellos y con el mundo exterior– lo cual no significa ‘per se‘ que haya habido un robo masivo de claves de cifrado de las tarjetas SIM.

Esta operación apuntaba a interceptar las claves en el momento de la transferencia entre los operadores móviles y sus proveedores a nivel global. Sin embargo, para 2010, la compañía ya había desplegado un sistema de transferencia de datos segura con sus clientes y este robo solo pudo haberse cometido en una rara excepción. Además, en un caso eventual de robo, los servicios de inteligencia solo habrían podido espiar en comunicaciones hechas a través de redes 2G, ya que las redes 3G y 4G no son vulnerables a este tipo de ataque.

De acuerdo con Gemalto, tan solo las comunicaciones en redes 2G serían vulnerables

Gemalto aseguró que no ha habido impacto sobre ninguno de sus productos a raíz del ataque conocido en los últimos días. Por último, afirmó que las mejores defensas contra este tipo de ataques son el cifrado sistemático de datos cuando se guardan y cuando se transfieren, así como el uso de tarjetas SIM recientes y de algoritmos personalizados para cada operador.

Gemalto no dejó contento a todo el mundo

Sin embargo, en respuesta a las declaraciones de Gemalto en la mañana del miércoles, The Incercept, el mismo medio que informó inicialmente acerca del robo de las claves de cifrado de millones de tarjetas SIM, afirmó que algunas de las explicaciones de parte de Gemalto podrían estar erradas, de acuerdo con la opinión de expertos en criptografía.

En la nota, el experto en seguridad Ronald Prins, cofundador de la compañía holandesa Fox IT aseguró que “una verdadera investigación forense de un ambiente tan complejo no es posible en ese periodo de tiempo“, haciendo referencia a los seis días que le tomó a Gemalto dar las declaraciones. Adicionalmente, Matthew Green, especialista en criptografía del Instituto de Seguridad Johns Hopkins, afirmó que “ningún mecanismo de cifrado es inmune al robo de claves, lo que significa que Gemalto está convencido de que ninguna clave adicional pudo haber sido robada o están diciendo que sus mecanismos tienen algún ‘ingrediente secreto’ propio y que el GCHQ, apoyado por recursos de la NSA, no pudo haber hecho ingeniería inversa sobre ellos. La anterior es una declaración muy preocupante”.

La investigación de Gemalto tan solo duró seis días

De acuerdo con el medio, las declaraciones de Gemalto parecieran estar dirigidas a tranquilizar al público con respecto a la seguridad de la compañía, más allá que demostrar que de verdad están tomando este robo seriamente. Con respecto a este tema, Green aseguró que este episodio debería ser “un llamado de atención para los fabricantes pues estos son considerados objetivos valiosos para las agencias de inteligencia. Hay muchos esfuerzos para minimizar y negar el impacto de algunos ataques viejos, pero ¿a quién le importan los ataques pasados? Lo que me gustaría ver es algún indicio de que los fabricantes están tomando esto seriamente hacia el futuro, de que están fortaleciendo sus sistemas y cerrando cualquier hueco de seguridad – debido a que estos claramente existen. Eso me haría confiar mucho más en esta respuesta”

Claramente Gemalto deberá invertir una gran cantidad de recursos, en tiempo y dinero, para mejorar –o demostrar– la confiabilidad- de sus sistemas de seguridad. Varios operadores como Deutsche Telekom y China Mobile han tomado medidas tanto a nivel de su seguridad como de exigencias a Gemalto, uno de sus mayores proveedores de tarjetas SIM.

Lo que queda claro frente a este caso, más allá de lo ocurrido, es que las compañías deben trabajar constantemente en fortalecer su seguridad, y que este será un proceso inacabado en el que siempre habrá oportunidad de mejora. Así, es probable que en el futuro sigamos viendo episodios como el de Sony o la operación Carbanak. Las estrategias de seguridad deben estar en todos los niveles, incluso en elementos tan cotidianos como nuestros automóviles.

Imagen: Simon Yeo (vía Flickr).

De acuerdo con el medio, espías de Estados Unidos y el Reino Unido robaron las claves de cifrado de una gran cantidad de tarjetas SIM de Gemalto. Estas llaves son usadas para proteger las comunicaciones celulares alrededor del mundo. Esta información fue conocida gracias a Edward Snowden, famoso por revelar varios de los actos de violación de seguridad perpetrados por la NSA.

El hecho se encuentra detallado en un documento secreto de la GCHQ de 2010. A través de este acceso, las agencias de seguridad tienen la posibilidad de monitorear de manera secreta una gran cantidad de comunicaciones celulares alrededor del mundo, tanto de voz como de datos. Es decir, para hacerlo no necesitan la aprobación de los operadores ni de los gobiernos de ningún país, de acuerdo con la nota de The Intercept.

Adicionalmente, la compañía Gemalto afirmó no estar enterada de la situación y que investigará hasta qué grado fue realizada la interceptación de sus claves de cifrado y cómo fue realizado el hecho, para tomar medidas. En los últimos años, debido a la llegada de la red 4G LTE a nuestro país, los operadores comenzaron una campaña para cambiar las tarjetas SIM por las de nueva generación, en especial porque estas ‘eran más seguras’. Sin embargo, por el momento no se sabe a ciencia cierta cuántas personas ni de qué países u operadores podrían estar en riesgo de interceptación.

Por el momento no se conoce el alcance que podría tener el robo de claves de las tarjetas SIM de Gemalto

De acuerdo con el medio, la privacidad de las telecomunicaciones, hoy en día, depende de una conexión cifrada entre el celular y el operador, gracias a las claves guardadas en la tarjeta SIM. Sin embargo, las tarjetas SIM no fueron inventadas con este único objetivo, sino para simplificar la vida de las operadoras, pues estas ayudan a prevenir fraudes como los números clonados. Debido a esto, los fabricantes de tarjetas SIM y los operadores no han realizado esfuerzos en fortalecer sus procesos –como los de proteger las claves de las tarjetas–.

Recientemente vimos un caso curioso donde algunas personas obsesionadas por la seguridad de sus comunicaciones, como los vendedores de drogas en el Reino Unido, estaban utilizando celulares convencionales como el Nokia 8210 para no ser rastreados en su ubicación. Sin embargo, el acceso que puede proporcionar robos de claves como el perpetrado por la NSA y el GCHQ podrían sacar mucha más información que solo la ubicación del usuario.

En últimas, conocer esta información no debería asustarnos, y más bien como usuarios deberíamos ser conscientes de que la privacidad en las telecomunicaciones es mínima y de esa forma, tomar medidas para evitar ‘dar papaya’.

Actualización

La compañía fabricante de tarjetas SIM Gemalto emitió la siguiente declaración con respecto a la publicación de The Intercept:

“En el mundo digital en el que todos vivimos, Gemalto está especialmente alerta contra hackers maliciosos y por supuesto ha detectado y mitigado muchos tipos de atentados en los últimos años y, actualmente, no puede vincular ninguno de esos intentos pasados con lo que fue informado por la publicación norteamericana The//INTERCEPT. Tomamos muy seriamente esta publicación y dedicaremos todos los recursos necesarios para investigar y comprender plenamente el alcance de dicha técnica altamente sofisticada para tratar de obtener información de la tarjeta SIM. Por lo que sabemos hasta este momento, el objetivo no fue Gemalto, per se – fue un intento para tratar de llegar al máximo número de teléfonos móviles posible. Últimamente se han reportado muchos ataques respaldados por algunos estados, que han atraído la atención tanto de los medios como de las empresas, esto realmente enfatiza la importancia de la seguridad cibernética en esta era”.

Imagen: NorGal (vía Shutterstock).