Hace unos minutos Gemalto ha convocado a los medios para presentar un escrito con los resultados de sus investigaciones internas acerca del posible hack. El fabricante explica que tiene motivos razonables para creer que efectivamente existió una operación llevada a cabo por la NSA y la GCHQ, algo que dice “posiblemente sucedió”. Sin embargo la compañía afirma que los ataques solo llegaron a sus redes de oficinas y “no podrían haber dado lugar a un robo masivo de las claves de cifrado de las tarjetas SIM”. En concreto, según Gemalto:
Las operaciones orquestadas por ambas agencias para obtener las claves se llevaron a cabo entre 2010 y 2011. En ese momento ya habíamos implementado un sistema de transferencia segura, lo que haría de la obtención de claves algo tremendamente difícil. Solamente en raras excepciones se podría haber llevado a cabo un esquema de ataque así y, de ser posible, las agencias sólo serían capaces de espiar las comunicaciones enviadas a través de redes 2G. Las conexiones 3G y 4G no son vulnerables a estos métodos de ataque.
En definitiva, un documento con el que Gemalto confirma oficialmente que el hack existió, aunque se desmarca de cualquier posible brecha de seguridad en sus sistemas. La compañía remarca en todo el documento que sus métodos de cifrado eran lo suficientemente fuertes para protegerse de los ataques registrados desde las agencias de espionaje. Además, afirma que el 98% de los intercambios de claves de cifrado señalados en los documentos de Snowden fueron realizados por otros proveedores menos seguros, con lo que parece deslizar la responsabilidad hacia terceras partes.
