Un fallo en el cifrado de tarjetas SIM compromete millones de móviles

Una vulnerabilidad en el sistema de cifrado DES utilizado en las tarjetas SIM de 3.000 millones de teléfonos móviles, podría permitir a un atacante, controlar remotamente el terminal, clonar las tarjetas, inyectar malware, realizar compras fraudulentas o espiar las comunicaciones.

El hackeo de las tarjetas SIM ha sido el Santo Grial de un buen número de investigadores y también de ciberdelincuentes, ya que este pequeño dispositivo se encuentra en millones de dispositivos y permite a los operadores identificar y autenticar usuarios.

De ahí la importancia de la vulnerabilidad descubierta por el investigador alemán y fundador de Security Research Labs, Karsten Nohl, conocido por revelar las debilidades de chips inalámbricos anticipándose al hackeo del algoritmo utilizado en GSM.

El fallo de las SIM afecta a tarjetas con cifrado DES, un estándar desarrollado por IBM en la década de los 70. Aunque las nuevas SIM utilizan un tipo de cifrado reforzado, DES es utilizado por 3.000 millones de terminales y el investigador calcula que unos 750 millones de ellos serían vulnerables.

Nohl ha preparado un exploit para demostrar la facilidad para obtener la clave digital de la tarjeta SIM, la secuencia de 56 dígitos que permite la modificación de la tarjeta. A partir de ahí un atacante controlaría las comunicaciones, podría realizar cargos en cuenta, suplantar la identidad del usuario o inyectar de malware el terminal.

La investigación ya ha sido comunicada a la asociación GSM y operadoras, y será presentada en la conferencia de seguridad Black Hat de Las Vegas el próximo mes.