El 17 de enero de 2014, Obama trataba de salir al paso de los esc√°ndalos de espionaje destapados por Edward Snowden. El presidente de EE.UU. dec√≠a que las actividades de las agencias de seguridad no ten√≠an como objetivo a personas normales. El √ļltimo caso de espionaje ha demostrado que ni eso era cierto.

Estas eran las palabras concretas de Obama:

En definitiva, las personas de todo el mundo, independientemente de su nacionalidad, deberían saber que Estados Unidos no espía a la gente corriente que no supone una amenaza a nuestra seguridad nacional, y que sus preocupaciones sobre su privacidad cuentan en nuestras políticas y procedimientos.

Cinco a√Īos antes, la NSA estadounidense, en estrecha colaboraci√≥n con la agencia de inteligencia inglesa (GCHQ) interceptaba los correos electr√≥nicos de 15o trabajadores de empresas de telecomunicaciones y fabricantes de tarjetas SIM como Gemalto. Por supuesto, ninguno de estos profesionales eran sospechosos de terrorismo ni supon√≠an amenaza alguna para la seguridad nacional. Se convirtieron en blancos porque ten√≠an acceso a una informaci√≥n muy valiosa: los c√≥digos Ki (Authentication Key) de ls tarjetas SIM.

Una operación sin precedentes

Advertisement

Como explican en The Intercept, los primeros intentos de espionaje resultaron tan fruct√≠feros que pronto se cre√≥ el grupo conocido como Mobile Handset Exploitation Team, y naci√≥ la operaci√≥n Dapino Gamma. Gemalto es solo la punta del iceberg. La NSA y la GCHQ interceptaron clandestinamente las cuentas de correo de centenares de profesionales que trabajaban para compa√Ī√≠as de telefon√≠a m√≥viles como Nokia o Huawei, fabricantes de tarjetas SIM como la propia Gemalto, Bluefish, Giesecke o Devrient, y operadores de telefon√≠a a lo largo y ancho del mundo. Tambi√©n se hackearon servicios de correo online como Gmail o Yahoo, y hasta se accedi√≥ a las cuentas en Facebook de algunos profesionales, especialmente en pa√≠ses que tuvieran alg√ļn inter√©s estrat√©gico como Ir√°n, Afganist√°n, Yemen, Serbia, India o China.

Solo en el caso de Gemalto, los papeles aireados por Snowden demuestran que en mayo de 2011, la GCHQ elabor√≥ una lista de objetivos pertenecientes a instalaciones de la compa√Ī√≠a en Alemania, M√©xico, Brasil, Canad√°, China, India, Italia, Rusia, Suecia, Espa√Īa, Jap√≥n y Singapur. El alcance y la duraci√≥n del seguimiento clandestino a objetivos civiles durante la operaci√≥n Dapino Gamma y otras como Highland Fling, orientada a trabajadores de Gemalto en Francia y Polonia, no tiene precedentes.

Advertisement

50 Millones de códigos por segundo

¬ŅQu√© era lo que buscaban los agentes de las agencias de seguridad con tanto ahinco? La respuesta es los c√≥digos Ki que los fabricantes de tarjetas SIM como Gemalto env√≠an a sus clientes.

Advertisement

El peque√Īo chip conocido como tarjeta SIM, o simplemente SIM, sigue siendo el centro de nuestras comunicaciones cuando pasan por redes de telefon√≠a. Las operadoras no fabrican estos chips. Los compran a terceras compa√Ī√≠as, y lo hacen en vol√ļmenes de millones de unidades. Cuando Gemalto env√≠a un cargamento de tarjetas a un cliente, env√≠a por separado un correo o una descarga FTP con los archivos que contienen los c√≥digos Ki. A veces estos env√≠os est√°n cifrados, pero muchas otras ni siquiera eso.

Las SIM no son un elemento especialmente seguro en cuanto a privacidad. Se crearon m√°s bien para gestionar los contratos de telefon√≠a y para prevenir el fraude (algo muy com√ļn en los primeros a√Īos de la telefon√≠a m√≥vil). En ese sentido, son el eslab√≥n d√©bil de nuestro smartphone en materia de seguridad. Los c√≥digos Ki son las claves que identifican las SIM y las permiten conectarse con nuestros operadores de telefon√≠a. La NSA y sus aliados pronto se dieron cuenta que era mucho m√°s f√°cil interceptar y robar esos c√≥digos que romper sus sistemas de cifrado.

Los documentos de la NSA revelan que, en 2009, la agencia ya robaba entre 12 y 22 millones de códigos por segundo. Si el espionaje a los objetivos civiles de operadoras y fabricantes seguían dando tan buenos resultados la agencia preveía llegar a los 50 millones de códigos por segundo.

Advertisement

Pinchar cualquier teléfono del mundo

¬ŅQu√© hacen las agencias con estos c√≥digos Ki? En primer lugar almacenarlos y clasificarlos para futuro uso. Este uso no es otro que interferir las comunicaciones de cualquier tel√©fono m√≥vil del mundo sin necesidad de pedir engorrosas √≥rdenes judiciales o permiso a las operadoras. El c√≥digo Ki es la √ļnica llave que necesitan para clonar la tarjeta y/o entrar en nuestros smartphones. El sue√Īo de cualquier esp√≠a.

A qu√© se puede acceder y a qu√© no desde la SIM ya es otra cuesti√≥n. No es que el c√≥digo ki permita leer nuestros archivos o ver las fotos √≠ntimas que le acabamos de hacer a nuestra pareja. Lo que s√≠ permite es acceder a un buen pu√Īado de metadatos del propietario de la SIM, clonar completamente su tarjeta, e interceptar el tr√°fico de voz y datos que sale de nuestro tel√©fono sin necesidad de superar los sistemas de cifrado de la tarjeta y el operador.

Advertisement

La información que enviemos puede estar cifrada mediante otros sistemas de software o aplicaciones, pero la primera puerta, la que se supone que nos protegía sin que tuviéramos que hacer nada más que pagar a un operador de telefonía , ya está forzada. Sabiendo esto, el cifrado extra de nuestras comunicaciones es casi una obligación, aunque solo sea por vender caros nuestros datos. [vía The Intercept, Forensic Wiki y Hacking Projects]

Imagen de portada: Sergii Korolko / Shutterstock

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)