Hace pocos días se conoció el caso de la infiltración de la NSA (Agencia de Seguridad Nacional de los Estados Unidos) y el GCHQ (el Cuartel General de Comunicaciones del Gobierno del Reino Unido) en los archivos de Gemalto, una de las compañías más grandes de tarjetas SIM, con el que robaron una gran cantidad de claves de cifrado de estos chips en 2010.
A partir de ese momento, la compañía comenzó una investigación con la que llegó a las siguientes conclusiones, de acuerdo con un comunicado de prensa:
En primer lugar, Gemalto aceptó que una operación no autorizada por parte de la NSA y el GCHQ probablemente sí ocurrió en 2010 y 2011. Sin embargo, estos ataques tan solo alcanzaron las redes de su oficina –es decir, las redes utilizadas por los empleados para comunicarse entre ellos y con el mundo exterior– lo cual no significa ‘per se‘ que haya habido un robo masivo de claves de cifrado de las tarjetas SIM.
Esta operación apuntaba a interceptar las claves en el momento de la transferencia entre los operadores móviles y sus proveedores a nivel global. Sin embargo, para 2010, la compañía ya había desplegado un sistema de transferencia de datos segura con sus clientes y este robo solo pudo haberse cometido en una rara excepción. Además, en un caso eventual de robo, los servicios de inteligencia solo habrían podido espiar en comunicaciones hechas a través de redes 2G, ya que las redes 3G y 4G no son vulnerables a este tipo de ataque.
De acuerdo con Gemalto, tan solo las comunicaciones en redes 2G serían vulnerables
Gemalto aseguró que no ha habido impacto sobre ninguno de sus productos a raíz del ataque conocido en los últimos días. Por último, afirmó que las mejores defensas contra este tipo de ataques son el cifrado sistemático de datos cuando se guardan y cuando se transfieren, así como el uso de tarjetas SIM recientes y de algoritmos personalizados para cada operador.
Gemalto no dejó contento a todo el mundo
Sin embargo, en respuesta a las declaraciones de Gemalto en la mañana del miércoles, The Incercept, el mismo medio que informó inicialmente acerca del robo de las claves de cifrado de millones de tarjetas SIM, afirmó que algunas de las explicaciones de parte de Gemalto podrían estar erradas, de acuerdo con la opinión de expertos en criptografía.
En la nota, el experto en seguridad Ronald Prins, cofundador de la compañía holandesa Fox IT aseguró que “una verdadera investigación forense de un ambiente tan complejo no es posible en ese periodo de tiempo“, haciendo referencia a los seis días que le tomó a Gemalto dar las declaraciones. Adicionalmente, Matthew Green, especialista en criptografía del Instituto de Seguridad Johns Hopkins, afirmó que “ningún mecanismo de cifrado es inmune al robo de claves, lo que significa que Gemalto está convencido de que ninguna clave adicional pudo haber sido robada o están diciendo que sus mecanismos tienen algún ‘ingrediente secreto’ propio y que el GCHQ, apoyado por recursos de la NSA, no pudo haber hecho ingeniería inversa sobre ellos. La anterior es una declaración muy preocupante”.
La investigación de Gemalto tan solo duró seis días
De acuerdo con el medio, las declaraciones de Gemalto parecieran estar dirigidas a tranquilizar al público con respecto a la seguridad de la compañía, más allá que demostrar que de verdad están tomando este robo seriamente. Con respecto a este tema, Green aseguró que este episodio debería ser “un llamado de atención para los fabricantes pues estos son considerados objetivos valiosos para las agencias de inteligencia. Hay muchos esfuerzos para minimizar y negar el impacto de algunos ataques viejos, pero ¿a quién le importan los ataques pasados? Lo que me gustaría ver es algún indicio de que los fabricantes están tomando esto seriamente hacia el futuro, de que están fortaleciendo sus sistemas y cerrando cualquier hueco de seguridad – debido a que estos claramente existen. Eso me haría confiar mucho más en esta respuesta”
Claramente Gemalto deberá invertir una gran cantidad de recursos, en tiempo y dinero, para mejorar –o demostrar– la confiabilidad- de sus sistemas de seguridad. Varios operadores como Deutsche Telekom y China Mobile han tomado medidas tanto a nivel de su seguridad como de exigencias a Gemalto, uno de sus mayores proveedores de tarjetas SIM.
Lo que queda claro frente a este caso, más allá de lo ocurrido, es que las compañías deben trabajar constantemente en fortalecer su seguridad, y que este será un proceso inacabado en el que siempre habrá oportunidad de mejora. Así, es probable que en el futuro sigamos viendo episodios como el de Sony o la operación Carbanak. Las estrategias de seguridad deben estar en todos los niveles, incluso en elementos tan cotidianos como nuestros automóviles.
Imagen: Simon Yeo (vía Flickr).
alguien me confirma si estas llamadas claves de cifrado son el mismo código puk de las sim card? gracias
alguien me confirma si estas llamadas claves de cifrado son el mismo código puk de las sim card? gracias