Realmente, no sé qué es más inquietante. Si la revelación tardía de un intento (fallido, aparentemente) de robo de claves de tarjetas SIM entre 2010 y 2011, o la ligereza con la que se nos explica que no ha pasado nada y, por tanto, no hay motivo para alarmarse.
La noticia que me ocupa nace de otro documento de la colección robada por el prófugo Edward Snowden, difundido a través de su vehículo favorito, The Intercept: según esta publicación online, las agencias de espionaje NSA (EEUU) y GCHQ (Reino Unido) intentaron – y el documento dice que lo lograron – hace cinco años romper el cifrado de claves que, supuestamente, les darían acceso a millones de smartphones en todo el mundo. La víctima habría sido la empresa franco-holandesa Gemalto, líder del mercado de tarjetas SIM.
En una tensa rueda de prensa, el CEO de Gemalto, Olivier Pion, tuvo que admitir que sólo supo del incidente cuando The Intercept le llamó para pedirle un comentario sobre la noticia que iba a publicar. Urgido por la revelación, cinco años después de los hechos, Gemalto practicó una investigación interna que en seis días llevó a la conclusión de que la intrusión «probablemente ocurrió, pero no dio como resultado el robo masivo de las claves de cifrado de tarjetas SIM». Hay indicios, añadió, de que los atacantes llegaron a hackear a varios empleados para penetrar en su red interna, pero fallaron en el objetivo de interceptar el punto en el que esta se comunica con los sistemas de los operadores.
«En 2010, ya teníamos un sistema de transferencia segura, aunque puede haberse registrado alguna fuga excepcional». Entre los 12 operadores mencionados en el documento, hay uno de Somalía, que no es cliente de Gemalto, al que le habrían robado 300.000 claves. Un ataque masivo – precisó Pion – sólo hubiera sido posible sobre redes 2G, puesto que «las de 3G y 4G no son vulnerables» a la técnica conocida como man-in-the-middle, en la que un atacante inserta su propio equipamiento entre dos dispositivos que se comunican. Sobre la identidad de los atacantes, no quiso pronunciarse, aunque respondió que llevar ante los tribunales a una agencia de espionaje sería perder el tiempo.
The Intercept siguió su campaña, atribuyendo a varios especialistas en criptografía la opinión de que es imposible que en seis días Gemalto reuniera la información necesaria para completar una investigación forense y desmentir el documento de (presuntamente) la NSA. El catedrático Matt Green, de la universidad John Hopkins, fue más allá: «[…] parece haber sido diseñada para producir un resultado positivo». Entretanto, las acciones de Gemalto habían sufrido una caída en la bolsa de Amsterdam.
El principal competidor de Gemalto, la firma alemana Giesecke & Devrient (G&D), reaccionó con una declaración formal en la que ratifica que las tarjetas SIM – que suministra a 350 operadores tarjetas que en parte produce en su fábrica de Barcelona – son un medio seguro basado en estándares probados durante más de dos décadas.
«No tenemos conocimiento de que una sola de nuestras tarjetas haya sido atacada – dice el comunicado de G&D – pero hemos tomado medidas adicionales para reforzar la seguridad de nuestros procesos de seguridad». Stefan Auerbach, director de la compañía germana, agrego una frase sagaz: «[la tarjeta SIM] es una tecnología tan segura que, en el caso de que se trata, incluso organismos de inteligencia habrían preferido robar las claves en lugar de atacar la lógica de las tarjetas como medio de autentificación del usuario de una red móvil».
El episodio coincide – no me tomen por suspicaz – con una situación muy revuelta en el mundo de los pagos a través de dispositivos móviles. La aparición de ApplePay, que introduce un método de autentificación por tokens ha tenido como consecuencia que todas las partes implicadas empiecen a hablar de las virtudes de la ´tokenización`. Visa Europa, por ejemplo, implementará esta técnica en los próximos meses. Me ha interesado la opinión de Will Graylin, CEO de LoopPay, startup especializada que acaba de ser comprada por Samsung: «[En el mejor de los casos] la ´tokenización` será un estándar adicional sobre los que ya existen. Retirar cualquier componente del actual ecosistema de pagos, necesariamente va a llevar tiempo».
Será uno de los temas de mi agenda en el Mobile World Congress, donde tengo previstos varios encuentros en torno a la cuestión de los pagos móviles y los distintos métodos de autentificación. Ya los contaré, no sé todavía si en el newsletter o en una crónica del sitio web.