Tus comunicaciones expuestas gracias a las tarjetas SIM

Pasan los días y los años y nos seguimos enterando de prácticas de espionaje por parte del gobierno de los Estados Unidos a través de su agencia nacional de seguridad (NSA) y es que hoy nuevamente aparece información que apunta a lo que sería el más grande monitoreo de comunicaciones jamas antes visto.

Todo surge a raiz de un reportaje de The Intercept donde gracias a documentos filtrados por Edward Snowden, sí, el famoso analista y miembro de la CIA y NSA, se ha dado a conocer que los gobiernos de Estados Unidos y Gran Bretaña lograron hackear Gemalto, el fabricante número de uno de SIM Cards en el mundo, lo que haría que gran parte de las comunicaciones de telefonía móvil del mundo, incluyendo voz y datos, estén expuestas hoy en día.

EE.UU. y Gran Bretaña poseen las llaves de encriptación de casi todas las tarjetas SIM del mundo

Los documentos señalan que la Agencia Nacional de Seguridad de los Estados Unidos y el Cuartel General de Comunicaciones del Gobierno del Reino Unido (GCHQ) desde 2010 hackearon Gemalto con la ayuda de un grupo llamado Mobile Handset Exploitation Team (MHET) integrado por miembros de ambas agencias, robando las llaves de encriptación de cada tarjeta SIM fabricada por esta compañía.



Para poner en contexto, Gemalto es la empresa más grande de fabricación de tarjetas SIM en el mundo, quien abastece cerca de dos mil millones de tarjetas al año a poco más de 450 operadoras en todo el mundo, con presencia en 85 países, 40 fabricas distribuidas en diversas regiones y tres oficinas centrales, donde la principal está establecida en Holanda.

El acceso a estas llaves les permitiría espiar las comunicaciones privadas de cualquier persona o compañía en cualquier parte del mundo, esto sin necesidad de pasar por el gobierno de ese país o la operadora que ofrece el servicio, ya que no necesitarían ninguna intervención telefónica u orden judicial para interceptar todas las comunicaciones que pasan a través de esa tarjeta SIM.



Lo más preocupante de todo, es que este tipo de intervención no deja rastro alguno, lo que hace prácticamente imposible saber si nos están espiando, es decir, ni el dueño del móvil, ni la compañía telefónica, ni el país, ni el mismo Gemalto tienen la posibilidad de encontrar rastros del agujero de seguridad y dar con el responsable.

Paul Beverly, vicepresidente ejecutivo de Gemalto, comentó:
"Lo más importante para mí, es entender exactamente la forma en la que esto sucedió, de manera que podamos tomar medidas para asegurar que no vuelva a pasar y también para asegurarnos que no haya impacto en los operadores de telecomunicaciones a los que hemos servido con confianza por ya varios años."

Las primeras investigaciones arrojan que las llaves fueron obtenidas gracias a que las agencias de seguridad lograron llegar hasta los servidores centrales de Gemalto por medio de acciones ilegales, ya que obtuvieron información privada de algunos trabajadores, fabricantes de tarjetas y proveedores, lo que nos habla de una operación que se planeó desde afuera y sin conocimiento de la compañía o sus asociados, demostrando nuevamente de lo que es capaz el gobierno en pro de "la seguridad mundial y de sus ciudadanos".



De confirmarse esto estariamos ante la red de espionaje privada más grande del mundo, ya que siempre se ha creído, y así nos lo han vendido, que las comunicaciones entre operadora y usuario móvil poseen un alto grado de cifrado, para así asegurar nuestra privacidad, pero hoy vemos que no es así.

San Valentín online, las páginas de citas y su vulnerabilidad

Seis de cada diez aplicaciones de citas online son vulnerables a ciberataques, poniendo en claro riesgo la información personal de sus usuarios. Así lo indica un informe elaborado por IBM con motivo de San Valentín, en el que la compañía alerta sobre la falta de medidas de seguridad en este tipo de soluciones de contactos personales o dating. Para hacer este informe la compañía ha analizado las 41 aplicaciones de contactos más importantes para dispositivos Android y los resultados son sorprendentes: de éstas 26 de ellas resultaron ser vulnerables a ciberataques en un grado medio o severo.

En concreto, el informe resalta que la mayoría de estas apps de contactos tiene acceso a funcionalidades adicionales del dispositivo móvil, como la cámara, el micrófono, el almacenamiento, la localización GPS o el monedero electrónico, lo que “facilita el trabajo a los ciberdelincuentes”. Además, en el 50% de los casos  estas apps están instaladas en dispositivos móviles de trabajo, que se usan también para acceder a información corporativa de la empresa.

Los grandes riesgos

¿Cuáles son los riesgos a los que se enfrentan los usuarios de estas apps? Por un lado, la descarga de malware ya que, como indica el informe, “los usuarios bajan la guardia ante una posible cita” y ese es el momento que aprovechan los ciberdelincuentes para enviar una alerta solicitando que actualicen la app o respondan a un mensaje que, en realidad, genera una descarga de malware en su dispositivo.

El GPS es otro punto conflictivo ya que permite seguir nuestros movimientos. Un 73% de las aplicaciones tienen acceso a información sobre la geolocalización actual y pasada del usuario gracias al registro del GPS. “Es muy sencillo para los atacantes conocer dónde vive, trabaja o pasa la mayor parte del tiempo su víctima”, afirma el informe.

Dado que el 48% de las apps analizadas tiene acceso a datos de pago almacenados en el dispositivo, es muy fácil para los ciberdelincuentes sustraer datos de la tarjeta de crédito: “Una débil codificación de esta información facilitaría que un hacker utilizara nuestros datos para realizar pagos no autorizados”.

Otras vulnerabilidades descubiertas por IBM son el uso del control remoto del micrófono o de la cámara de fotos, lo que supone una puerta abierta para que espíen la intimidad del usuario sin que éste se percate en ningún momento.

Finalmente, el ciberdelincuente puede llegar a usurpar el perfil del usuario en la app de citas y aprovechar esta información confidencial para dañar su reputación filtrándola a otras personas. “Esta situación pone en peligro a otros usuarios de la aplicación, que pueden estar compartiendo su información personal con alguien que no es quien dice ser”, añade el informe.

Recomendaciones

Teniendo todos estos datos en mente, ¿es preciso dejar de utilizar estas aplicaciones? No hay que tomar medidas tan drásticas pero sí ser más cuidadosos y, sobre todo, no facilitar demasiada información personal en este tipo de páginas (por ejemplo, el lugar de trabajo, la fecha de cumpleaños o tus perfiles en redes sociales) al menos hasta sentirnos cómodos con la persona con la que estamos contactando a través de la aplicación.

IBM también recomienda usar aplicaciones con permisos apropiados, utilizar diferentes claves (ya que podemos experimentar múltiples ataques si una de nuestras cuentas recibe cualquier amenaza), realizar actualizaciones puntuales de las aplicaciones y dispositivos cuando estén disponibles y, por último, utilizar conexiones seguras (sobre todo cuando nos conectamos a redes wifi gratuitas).

Las empresas, por su parte, ante el auge del uso de dispositivos personales para el trabajo deberían garantizar que el empleo de estos no pone en riesgo la seguridad de la organización. Además de educar a los empleados sobre estas prácticas, es preciso que definan qué aplicaciones se pueden descargar los trabajadores (solo las de tiendas de apps autorizadas, como Google Play, iTunes y la galería de aplicaciones corporativa). Y, por supuesto, establecer políticas automatizadas en smartphones y tabletas para actuar inmediatamente si se detecta una aplicación arriesgada o comprometida en un dispositivo.