Saltar al contenido

¿Ganaremos en seguridad reemplazando tarjetas SIM con las nuevas eSIM?

Las nuevas eSIM, beneficios

Estamos a punto de ver irrumpir en el mercado de las comunicaciones un nuevo estándar para las tarjetas SIM y la pregunta para nosotros es obvia, ¿son más seguras las nuevas eSIM o solamente es un cambio con fines comerciales?

Durante mucho tiempo, cambiar de teléfono ha supuesto cambiar además de tarjeta SIM, luego microSIM y últimamente nanoSIM. Ahora, los operadores le quieren dar una vuelta de tuerca y prescindir por completo de las tarjetas extraíbles.

Las nuevas eSIM, beneficios

Con el nuevo estándar eSIM, la “e” recién añadida se refiere a emdedded (embebido) lo que significa que, en lugar de una tarjeta extraíble, dentro de no mucho no tendremos nada que cambiar, siendo soldada directamente al terminal.

En su lugar, los nuevos chips serán activados remotamente por parte de los operadores de telefonía. Teléfonos nuevos como el Samsung Galaxy S20 o el Google Pixel 3 ya lo incluyen, aunque de momento con la tarjeta SIM antigua como opción. Esto es algo que probablemente desaparecerá en el futuro.

SIM equivale a Subscriber Identity Module, un chip que posibilita que nos conectemos a la red de telefonía de cualquier proveedor (si nos da acceso). Normalmente contiene además ciertos datos como texto, contactos o incluso emails.

Los beneficios se pueden resumir en 3. Por un lado, será más fácil realizar el cambio de proveedor. No es necesario esperar a que nos llegue nada en formato físico.

Por otro lado, con una eSIM no hay barreras que nos impidan tener contratos con varios operadores sin hacer nada más. Finalmente, si se quita el espacio ocupado por la actual SIM se podrá destinar a otros conceptos beneficiosos para el terminal.

eSIM vs SIM y sus diferencias en cuanto a seguridad

A continuación veremos los motivos por los que se considera la aportación de este nuevo estándar como más bien “modesta” en el frente de la ciberseguridad.

Ataques de tipo SIM Swap

El sim jacking es también conocido como SIM splitting y se basa en la premisa de hacer creer a un operador que el atacante es el dueño legítimo de una tarjeta, para de esa forma conseguir se se le active una nueva SIM tomando como base una que pertenece a un cliente existente.

Para lanzar un ataque de este tipo, primero se obtiene información de la víctima, mediante técnicas OSINT normalmente, o bien mediante campañas de phishing, entre otros métodos.

Después se produce la impersonación del hacker, que llama a la empresa de telefonía y pretende haber perdido o le ha sido sustraída la tarjeta SIM. Si la empresa pica el anzuelo, el atacante obtendrá acceso a las comunicaciones, contactos -y lo que es peor- incluso a los códigos multifactor.

Hace poco se llevó a cabo un experimento. Rick Jennings habla de cómo un usuario compró un iPhone desbloqueado. En la tienda de Apple, solicitaron una migración del perfil al nuevo estándar eSIM. Esto se lo hicieron sin pedir prueba alguna de posesión de la cuenta y sin pedir la vieja SIM.

Las tiendas, en particular, son objetivos fáciles (las operadoras son más complicadas de engañar) dada su baja preparación técnica en seguridad.

En definitiva, podemos decir que las eSIM no resuelven el fraude en las identidades. No es sustitutivo de una buena higiene de contraseñas y un buen conjunto de preguntas de seguridad.

Robo del dispositivo

En este apartado, las nuevas tarjetas eSIM se muestran algo más sólidas que las SIM. Lo bueno que ofrecen las eSIM es que no permiten borrar el perfil anterior sin conocer la contraseña del usuario, ni tampoco permiten añadir un nuevo perfil.

Es decir, si alguien es lo suficientemente incauto como para adquirir un terminal que tenga el perfil anterior activo, será fácilmente rastreable.

Esto resolvería el problema en aquellos casos en que los atacantes solo quieran el terminal (caso común, por cierto). Hasta ahora les resultaba relativamente fácil conseguir su objetivo.

Conclusiones

El fraude en tarjetas SIM conocido como SIM swapping es un problema de primer orden, causando anualmente pérdidas económicas o de datos a decenas de miles de usuarios en Europa.

En este sentido, sería recomendable que se tomaran más medidas de las que actualmente se han diseñado, habrá que esperar para ver algo realmente eficiente para acabar con el fraude de las tarjetas de telefonía.

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

2 comentarios sobre “¿Ganaremos en seguridad reemplazando tarjetas SIM con las nuevas eSIM? Deja un comentario

  1. Anda, de lo que se entera uno.

    Ni idea de que se iba a implantar este nuevo formato formato de SIM.

    De todos modos, como siempre, el 70% del esfuerzo para evitar el fraude recae en los usuarios, y ya sabemos cómo se las gastan éstos. Así que….. seguirá habiendo fraude.

    Salu2.

    Me gusta

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: