Las recientes revelaciones de Edward Snowden, exanalista de la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) sobre el hackeo de tarjetas SIM de la firma Gemalto es un parteaguas para que los usuarios de todo el mundo comiencen a tomar medidas adicionales para proteger su seguridad y privacidad en los teléfonos móviles, coincidieron expertos.
El jueves pasado Snowden, quien también laboró en la Agencia Central de Inteligencia estadunidense, entregó documentos a la revista electrónica The Interceptque muestran una operación realizada desde 2010 por la NSA y los órganos de seguridad del Reino Unido para apropiarse de las llaves de encriptación de las tarjetas SIM fabricadas por Gemalto.
Esas tarjetas se usan para almacenar contactos, mensajes de texto o la lista de contactos, pero también para transferir dinero y son las que se encargan de cifrar las comunicaciones para dar privacidad a los usuarios, explicó el director de Innovación Tecnológica de la empresa de seguridad informática Trend Micro, Juan Pablo Castro.
En el SIM se pone una clave privada de cifrado y todo cifrado es seguro, siempre y cuando las llaves se mantengan adecuadamente resguardadas. El problema es si alguien logra hacerse con esa llave (…) por eso el objetivo de las agencias era interceptar estas claves no sólo de Gemalto, sino del mundo”, explicó a Excélsior.
Marcelo Lozano, experto en seguridad informática, consideró que usando ingeniería inversa y herramientas forenses sería posible encontrar algún rastro que confirme o niegue el robo de las llaves.
“Para asegurarlo hay que realizar pruebas concretas sobre el campo y, obviamente, Gemalto nunca las dará a conocer”, advirtió en entrevista.
No van por los ciudadanos, pero…
Ambos especialistas confiaron en que este posible robo masivo de llaves de tarjetas SIM no afecte a los ciudadanos comunes, ya que las agencias de inteligencia quieren interceptar las comunicaciones de objetivos identificados y específicos, sobre todo aquellos relacionados o sospechosos de terrorismo.
“Se trata de un tema de confianza y en casos como éste siempre hay que pensar en el peor escenario, por eso es una oportunidad para buscar nuevos métodos de protección”, comentó Castro.
Una forma para proteger la privacidad, ya que no se sabe si esta operación continúa o cuántas llaves fueron robadas, es utilizar redes virtuales privadas en los teléfonos celulares, ya que éstas brindan un cifrado adicional no relacionado con la tarjeta SIM cuando se utiliza el servicio de datos.
Para las comunicaciones por voz es un poco más difícil protegerse porque éstas usan por fuerza la SIM, sin embargo una opción es utilizar servicios de voz sobre IP, algunas aplicaciones de mensajería por red como LINE, BlackBerry Messenger y otras ya brindan esta opción.
Otras alternativas son aplicaciones como TextSecure y Silent Text para mensajes de texto, mientras que Signal,
RedPhone y Silent Phone pueden encriptar las llamadas de voz realizadas.
Negro futuro
Ante estas revelaciones y otras pruebas sobre el espionaje que realizan autoridades del Reino Unido, el equipo de Privacy International lanzó una campaña para que los usuarios puedan confirmar si fueron espiados.
Para ello solicitan el nombre, apellido y correo como datos obligatorios, número de teléfono como opcional, aunque debe tomarse en cuenta que los términos de privacidad indican que la información brindada se compartirá con dicha agencia.
Para Mikael Albrecht, consejero de Seguridad de F-Secure Labs, esa condición impuesta en la campaña de Privacy International es un recordatorio de que se debe pensar dos veces antes de enviar información privada. “Siempre hay que tener presente, ¿para qué se envía? y ¿a quién?”, recomendó.
Lozano indicó que el futuro de la seguridad y la privacidad “es negro, ya que también debemos preocuparnos por los cibercriminales que roban, trafican órganos humanos, prostituyen menores y fundamentalmente arruinan la vida de mucha gente”.
Ruta del espionaje
Método para cifrar las comunicaciones celulares
- Por ataque de fuerza bruta
- Robando las llaves
Método que usaron para robar las llaves
- Las agencias entraron al correo y redes sociales como Facebook de los empleados de Gemalto
- Se identificaron objetivos precisos que brindaran la información necesaria
- Entraron a la red
- Monitorearon el momento en que la empresa enviaba las llaves a los proveedores de telefonía. Método que suele realizarse por correo con sistemas de encriptación simples
- Los documentos tienen información sólo de 3 meses de la operación en 2010
Las SIM card:
- Almacenan contactos
- Guardan mensajes de texto
- Aprueban transacciones bancarias
- Guardan el número de teléfono personal
- Codifican las comunicaciones de voz y datos
Comments