El pasado 20 de febrero el medio The Intercepted publicaba información facilitada por Snowden que volvía a situar a la NSA en el punto de mira. De acuerdo a los documentos, la agencia británica GCHQ y la NSA norteamericana
habrían hackeado al mayor fabricante de tarjetas SIM en el mundo, Gemalto, para robar las claves de cifrado que proporcionan acceso universal a sus tarjetas. Una operación que habría permitido actividades de espionaje en cualquier
smartphone y por tanto suponía una brecha de seguridad de dimensiones globales.
Hace unos minutos Gemalto ha convocado a los medios para presentar
un escrito con los resultados de sus investigaciones internas acerca del posible
hack. El fabricante explica que tiene motivos razonables para creer que efectivamente existió una operación llevada a cabo por la NSA y la GCHQ, algo que dice “posiblemente sucedió”. Sin embargo la compañía afirma que los ataques solo llegaron a sus redes de oficinas y “no podrían haber dado lugar a un robo masivo de las claves de cifrado de las tarjetas SIM”. En concreto, según Gemalto:
Las operaciones orquestadas por ambas agencias para obtener las claves se llevaron a cabo entre 2010 y 2011. En ese momento ya habíamos implementado un sistema de transferencia segura, lo que haría de la obtención de claves algo tremendamente difícil. Solamente en raras excepciones se podría haber llevado a cabo un esquema de ataque así y, de ser posible, las agencias sólo serían capaces de espiar las comunicaciones enviadas a través de redes 2G. Las conexiones 3G y 4G no son vulnerables a estos métodos de ataque.
En definitiva, un documento con el que Gemalto confirma oficialmente que el
hack existió, aunque se desmarca de cualquier posible brecha de seguridad en sus sistemas. La compañía remarca en todo el documento que sus métodos de cifrado eran lo suficientemente fuertes para protegerse de los ataques registrados desde las agencias de espionaje. Además, afirma que el 98% de los intercambios de claves de cifrado señalados en los documentos de Snowden fueron realizados por otros proveedores menos seguros, con lo que parece deslizar la responsabilidad hacia terceras partes.