El fallo se basa en una doble vulnerabilidad del protocolo de cifrado (DES) y el lenguaje de programación Java Card utilizados en buena parte de las tarjetas SIM del mercado, que permitiría instalar un programa malicioso mediante el simple envío de un SMS OTA invisible al usuario. Por tanto, con conocer un número de teléfono que podría estar en el otro lado del mundo, si su SIM es vulnerable (y 12,5% lo serían), bastaría para hackearlo.
¿Las consecuencias? Desde enviar mensajes o llamar a números de tarificación adicional, a recolectar datos o reenviar las llamadas recibidas, pudiendo incluso hacer pagos en los países en los que se utilizan los móviles como medio de pago. Todo ello ejecutándose siempre en la propia SIM, ya que la vulnerabilidad no permite instalar nada en el dispositivo.
De momento las compañías implicadas parece que ya conocen el problema y están trabajando en la solución. Y por otro lado aún no se han hecho públicos los detalles exactos del fallo, por lo que en teoría habría tiempo para cambiar o actualizar las tarjetas SIM afectadas antes de que grupos criminales se aprovechen del problema. Gracias a Tails por el aviso.
Apasionado de la informática y las nuevas tecnologías desde los 8 años, cuando un Amstrad PC1512 se convirtió en mi "juguete" preferido. Una década después descubrí la PSX y los PIC12C508, y de esa unión nació ElOtroLado.