¿Ganaremos en seguridad reemplazando tarjetas SIM con las nuevas eSIM?
Estamos a punto de ver irrumpir en el mercado de las comunicaciones un nuevo estándar para las tarjetas SIM y la pregunta para nosotros es obvia, ¿son más seguras las nuevas eSIM o solamente es un cambio con fines comerciales?
Durante mucho tiempo, cambiar de teléfono ha supuesto cambiar además de tarjeta SIM, luego microSIM y últimamente nanoSIM. Ahora, los operadores le quieren dar una vuelta de tuerca y prescindir por completo de las tarjetas extraíbles.
Las nuevas eSIM, beneficios
Con el nuevo estándar eSIM, la «e» recién añadida se refiere a emdedded (embebido) lo que significa que, en lugar de una tarjeta extraíble, dentro de no mucho no tendremos nada que cambiar, siendo soldada directamente al terminal.
En su lugar, los nuevos chips serán activados remotamente por parte de los operadores de telefonía. Teléfonos nuevos como el Samsung Galaxy S20 o el Google Pixel 3 ya lo incluyen, aunque de momento con la tarjeta SIM antigua como opción. Esto es algo que probablemente desaparecerá en el futuro.
SIM equivale a Subscriber Identity Module, un chip que posibilita que nos conectemos a la red de telefonía de cualquier proveedor (si nos da acceso). Normalmente contiene además ciertos datos como texto, contactos o incluso emails.
Los beneficios se pueden resumir en 3. Por un lado, será más fácil realizar el cambio de proveedor. No es necesario esperar a que nos llegue nada en formato físico.
Por otro lado, con una eSIM no hay barreras que nos impidan tener contratos con varios operadores sin hacer nada más. Finalmente, si se quita el espacio ocupado por la actual SIM se podrá destinar a otros conceptos beneficiosos para el terminal.
eSIM vs SIM y sus diferencias en cuanto a seguridad
A continuación veremos los motivos por los que se considera la aportación de este nuevo estándar como más bien «modesta» en el frente de la ciberseguridad.
Ataques de tipo SIM Swap
El sim jacking es también conocido como SIM splitting y se basa en la premisa de hacer creer a un operador que el atacante es el dueño legítimo de una tarjeta, para de esa forma conseguir se se le active una nueva SIM tomando como base una que pertenece a un cliente existente.
Para lanzar un ataque de este tipo, primero se obtiene información de la víctima, mediante técnicas OSINT normalmente, o bien mediante campañas de phishing, entre otros métodos.
Después se produce la impersonación del hacker, que llama a la empresa de telefonía y pretende haber perdido o le ha sido sustraída la tarjeta SIM. Si la empresa pica el anzuelo, el atacante obtendrá acceso a las comunicaciones, contactos -y lo que es peor- incluso a los códigos multifactor.
Hace poco se llevó a cabo un experimento. Rick Jennings habla de cómo un usuario compró un iPhone desbloqueado. En la tienda de Apple, solicitaron una migración del perfil al nuevo estándar eSIM. Esto se lo hicieron sin pedir prueba alguna de posesión de la cuenta y sin pedir la vieja SIM.
Las tiendas, en particular, son objetivos fáciles (las operadoras son más complicadas de engañar) dada su baja preparación técnica en seguridad.
En definitiva, podemos decir que las eSIM no resuelven el fraude en las identidades. No es sustitutivo de una buena higiene de contraseñas y un buen conjunto de preguntas de seguridad.
Robo del dispositivo
En este apartado, las nuevas tarjetas eSIM se muestran algo más sólidas que las SIM. Lo bueno que ofrecen las eSIM es que no permiten borrar el perfil anterior sin conocer la contraseña del usuario, ni tampoco permiten añadir un nuevo perfil.
Es decir, si alguien es lo suficientemente incauto como para adquirir un terminal que tenga el perfil anterior activo, será fácilmente rastreable.
Esto resolvería el problema en aquellos casos en que los atacantes solo quieran el terminal (caso común, por cierto). Hasta ahora les resultaba relativamente fácil conseguir su objetivo.
Conclusiones
El fraude en tarjetas SIM conocido como SIM swapping es un problema de primer orden, causando anualmente pérdidas económicas o de datos a decenas de miles de usuarios en Europa.
En este sentido, sería recomendable que se tomaran más medidas de las que actualmente se han diseñado, habrá que esperar para ver algo realmente eficiente para acabar con el fraude de las tarjetas de telefonía.
Categories
deweloper View All
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
Anda, de lo que se entera uno.
Ni idea de que se iba a implantar este nuevo formato formato de SIM.
De todos modos, como siempre, el 70% del esfuerzo para evitar el fraude recae en los usuarios, y ya sabemos cómo se las gastan éstos. Así que….. seguirá habiendo fraude.
Salu2.
Eso es. Necesidad de vender > Requerimientos de seguridad 😉
Saludos.
A mi me hicieron un sim Swapping hace poco y soy informático, no he dejado datos a través de técnicas de pishing, en eso soy muy cuidadoso, pero es posible que con técnicas de OSINT hayan recopilado información mía y con las brechas de seguridad que hay en algunas compañías de telefonía como la mía «JAzztel» pues los ciberdelincuentes pudieron solicitar una eSIM y activar la misma y en ese momento desactivar la mía, menos mal que me dí cuenta a tiempo porque ya podía acceder a mis cuentas bancarias por el tema del gran engaño en seguridad que Europa gestiona a través del factor de doble seguridad de los SMS en los móviles, una puerta más para poder acceder a nuestra información y dispositivos. En fín, que le puede pasar a cualquiera, se necesita más seguridad tanto en las operadoras de telefonía como en las oficinas bancarias.
Lo de que el 2FA mediante SMS es seguro es una completa falacia. La nueva normativa PSD2 cojea un poco por ese lado. En cuanto a las telefónicas, evidentemente un problema de base es la falta de formación del personal respecto a detección de phishing y un mero entendimiento de como funcionan los scam a nivel básico. Son servicios que muchas veces se subcontratan y no se verifica con ese tercero el cumplimiento de ciertas medidas, además de que para empezar, en muchas compañías las medidas son insuficientes. Totalmente de acuerdo contigo, le podría pasar a cualquiera. Eso sí, en estos casos, un ojo entrenado puede evitar el mal a tiempo!