Simjacker: tu móvil en riesgo por un SMS

Según estiman los expertos, más de 1.000 millones de usuarios alrededor del globo podrían verse afectados, quedando expuesta su ubicación y los teléfonos a merced de cualquiera con los suficientes conocimientos.

¿En qué consiste 'Simjacker'? El atacante se sirve de un software (programa informático) presente por defecto en las tarjetas SIM de numerosas operadoras: 'S@T Browser'. Éste era utilizado para recolectar información sobre la cantidad de datos y minutos de voz restantes en el contrato del usuario, si bien dejó de utilizarse en 2009.

La desactualización de S@T Browser supone así una puerta de entrada para malintencionados, quienes proceden enviando un SMS con instrucciones cuidadosamente redactadas. Gracias a éstas se toma el control de la circuitería de la tarjeta SIM ('Universal Integrated Circuit Card' o UICC) y se genera un segundo SMS, enviado al dispositivo desde el que se originó el ataque. Es entonces cuando se envía nuestra localización e IMEI, el código que identifica cada móvil a escala global.

Lo más preocupante es que todo el proceso ocurre en segundo plano: no somos conscientes de haber recibido (ni posteriormente) enviado un SMS con la información de marras. De nada sirve consultar el buzón de mensajes con asiduidad.

Dado que Simjacker aprovecha una vulnerabilidad de las tarjetas SIM, no discrimina entre marcas, modelos ni sistemas operativos. Así, lo mismo da iOS que Android; Apple que Samsung, Huawei, Google o Xiaomi (por mentar sólo algunos de los principales fabricantes).

¿Podemos hacer algo para protegernos? Poco más que presionar a las operadoras telefónicas, quienes apenas han modificado el diseño de sus tarjetas SIM durante la última década. Con todo, Adaptive Mobile Security advierte que «cambiar la configuración de seguridad de la UICC o desinstalar el software S@T Browser supone una tarea lenta y dificultosa»; poco factible.

¿Veremos nuevos modelos de SIM a nedio plazo? Más valdría, considerando que Simjacker podría evolucionar y utilizarse con fines mucho más perniciosos. En las pruebas llevadas a cabo por la firma de seguridad, sus técnicos fueron capaces de realizar llamadas, enviar mensajes de texto, abrir el navegador web e incluso desactivar la tarjeta SIM del teléfono atacado; todo ello de forma remota y en cuestión de segundos.

Nada impide a terceros utilizar Simjacker para promover la desinformación (enviando mensajes con 'fake news'); cometer fraudes (provocar llamadas de smartphones ajenos a número 'premium'); espiar nuestra conversaciones (convirtiendo al teléfono en dispositivo de escucha) o difundir 'malware' (forzando la apertura de direcciones web con acceso al virus o programa nocivo de turno).

Uno de los puntos más sorprendentes del comunicado de AMS alude al origen de Simjacker: asegura que el 'exploit' fue desarrollado por una empresa privada, a raíz de las peticiones de varios gobiernos con intereses de monitorización individual. Dicho de otra forma: espionaje desde las altas esferas.

Más concretamente, AMS detectó hasta 300 números telefónicos atacados por día «en un país concreto», intentándose con algunos de ellos varios cientos de veces a la semana (seguramente por pertenecer a sujetos de alto rango).

Nuestra preocupación ahora radica en la utilización de esta técnica de forma masiva, semanas después de saber sobre el timo de la SIM duplicada ('SIM swapping'); las escuchas mediante asistentes por voz y la proliferación de aplicaciones maliciosas.

AMS ofrecerá más información sobre Simjacker en la Virus Bulletin Conference de Londres, el próximo 3 de octubre. La compañía ya está trabajando con dos de las máximas autoridades en el campo de la telefonía: GSM Association y SIM Allliance.