Mikel Zubimendi
ROBO DE LAS CLAVES DE ENCRIPTAJE DE LAS TARJETAS SIM

Los ladrones se hacen con otra llave maestra

Según documentos filtrados por Edward Snowden, exespía de la NSA, los servicios de ciberespionaje de EEUU y Gran Bretaña han robado a Gemalto -compañía líder mundial- las claves de encriptaje de sus tarjetas SIM. Un robo grave con implicaciones aún más graves.

Ni el mismo George Orwell se lo habría imaginado, pero el hecho es que en el mundo en que vivimos la realidad se ha convertido en algo más extraño e inquietante que la ficción. Las autopistas de la comunicación, la nuevas esferas online, en teoría, podrían haber creado un mundo totalmente transparente pero las agencias de espionaje y los gigantes de las nuevas tecnologías les han ido dando capas de opacidad, secretismo y engaño. La gente normal está totalmente expuesta y sus vidas se han convertido en un libro abierto. El espionaje sistemático y la masiva recopilación de los datos de ubicación de los teléfonos móviles, de los números marcados y recibidos, los post de Twitter, los mensajes por WhatsApp... todos esos metadatos en muchos casos dan una fotografía más real de la privacidad de las personas que la transcripción de unas cuantas llamadas telefónicas.

Además de toneladas de hipocresía, mentiras y afirmaciones de indignación fingida, si algo están poniendo de manifiesto las revelaciones de Edward Snowden, que trabajó para la NSA estadounidense, es que no se espía a «sospechosos de terrorismo», sino que miles de millones de ciudadanas y ciudadanos son objetivo de las agencias de inteligencia. En otras palabras, que el control de la gente parece inevitable y que su privacidad, lejos de ser un derecho humano básico aun con márgenes muy borrosos, se ha convertido en un lujo del pasado.

Las últimas informaciones publicadas refuerzan esta idea. La semana pasada, «The Intercept» -medio fundado por Glenn Greenwald, el periodista de «The Guardian» que destapó el «caso Snowden»- revelaba que las agencias de ciberespionaje de EEUU y Gran Bretaña (la NSA y el GCHQ) habían lanzado un ataque conjunto contra Gemalto (firma multinacional de tarjetas SIM con sede en Holanda) y como resultado del robo se habrían hecho con las claves de encriptaje de millones de teléfonos móviles, obteniendo con ese hackeo la capacidad de monitorizar en secreto miles de millones de transmisiones de voz y de datos.

«Seguridad para ser libre»

Ese es el lema de la multinacional Gemalto, el mayor productor de tarjetas SIM del mundo (dos millardos al año), que opera en 85 países y tiene más de 40 plantas de producción. Especializada en seguridad digital, en la fabricación de chips para móviles, tarjetas de crédito, pasaportes y carnets de identidad electrónicos, entre sus clientes se encuentran compañías como ATandT, T-Mobile, Verizon, Sprint, Orange, Vodafone y otros 450 proveedores de servicios de red inalámbrica en todo el mundo.

De confirmarse la autenticidad de las informaciones publicadas por «The Intercept» basadas en documentos ultrasecretos que les ha hecho llegar Snowden, las agencias de ciberespionaje podrían monitorizar cualquier comunicación de teléfonos móviles, en cualquier lugar y de cualquier persona, sin tener que recibir el visto bueno de las compañías o de los gobiernos. Poseer las claves de encriptaje les permitiría, asimismo, poder desencriptar comunicaciones interceptadas mucho antes y que hasta ahora no habían sido capaces de «leer». Y todo ello sin necesidad de una orden judicial, de ninguna autorización para escuchas telefónicas, sin dejar pistas en las redes inalámbricas de los proveedores de ese servicio.

En la reacción oficial de Gemalto, la multinacional dice que las operaciones encubiertas, «los métodos de intrusión descritos en la información publicada y los sofisticados ataques que detectamos en 2010 y 2011, nos dan una base razonable para creer que esas operaciones de la NSA y el GCQH probablemente ocurrieron». E informa de la utilización de falsos e-mails para penetrar sus sistemas; concretamente, el de sus oficinas en el Estado francés, donde los hackers espiaron todos los mensajes internos enviados entre sí por los empleados y los de estos y sus contactos externos. Además, sus clientes habrían recibido falsos e-mails enviados desde la dirección de Gemalto que aparentemente habrían permitido la descarga del software maligno. Aunque a continuación, consciente seguramente de las implicaciones y de los perjuicios económicos que estas informaciones conllevarían para Gemalto, añadió que «las intrusiones solo han afectado a la parte exterior de nuestra red».

Puentear, que no penetrar

Las tarjetas SIM no fueron inventadas para proteger las comunicaciones individuales. Nunca fue esa «su misión». Fueron diseñadas para un objetivo más sencillo: asegurar una facturación correcta y evitar el fraude, algo que fue generalizado en los primeros momentos de los teléfonos móviles. Y precisamente por ello, porque la confidencialidad nunca fue su objetivo, los fabricantes y operadores de redes inalámbricas nunca hicieron grandes esfuerzos para proteger las líneas de suministro. Todo ello ha hecho que las tarjetas SIM sean un componente de los móviles extremadamente vulnerable.

Generalmente, las compañías telefónicas no fabrican las tarjetas SIM, ni tampoco las programan con claves secretas de encriptaje. Les resulta más barato y más eficiente subcontratar este paso tan sensible a otras compañías especializadas -como Gemalto- y después comprárselas. Durante la fabricación, insertan directamente la clave de encriptaje en el chip y se entrega una copia de la clave al proveedor de los móviles para que su red reconozca el teléfono en cuestión. Una vez autentificada y validada, las comunicaciones entre el teléfono y la red son encriptadas y viajan por el aire. Interceptarlas no es complicado, es algo relativamente sencillo para las agencias de espionaje, pero desencriptarlas requiere tiempo y dinero, por lo que tener el acceso directo a las claves facilita la vigilancia en masa.

Como dijo Adi Shamir, criptólogo israelí experto en ciencias de la computación, «la criptografía normalmente es puenteada, no penetrada». Es decir, es muchísimo más discreto abrir una puerta cerrada cuando tienes la llave que romperla usando la fuerza bruta. Y, como en este caso, cuando tienes la llave maestra, puedes abrir todas las puertas del edificio, miles de millones de comunicaciones en todo el mundo.

Un equipo conjunto de agentes y hackers de la NSA y del GCHQ cuya existencia no se conocía hasta ahora y denominado «Mobile Handset Exploitation Team» (MHET) fue formado en 2010 para atacar los puntos vulnerables de los móviles. Una de sus misiones prioritarias fue la de penetrar secretamente los ordenadores en red de las compañías productoras de tarjetas SIM y la de los proveedores de las redes inalámbricas. Se estima que actualmente ambos servicios de ciberespionaje tienen la capacidad y la tecnología necesaria para procesar entre 12 y 22 millones de claves por segundo para convertirlas luego en objetivo de vigilancia. En un futuro próximo, llegarán hasta los 5o millones por segundo. Poca broma.

Las implicaciones globales del robo de las claves de encriptaje de Gemalto son enormes. Además de ser el principal proveedor de las compañías de móviles más pujantes del mundo, su tecnología es utilizada por más de 3.000 instituciones financieras, entre las cuales se encuentran Visa, MasterCard, American Express o Barclays. También procura chips para coches de lujo, como los fabricados por Audi o BMW. ¡Solo con imaginar el dinero que uno podría hacer si tuviera acceso a las llamadas telefónicas hechas en los alrededores de Wall Street!

Control y posesión del mundo online

Las revelaciones en torno a este robo de proporciones gigantescas, junto a la cascada incesante de «escándalos» destapados por Snowden, revelan una estrategia para establecer un control total sobre Internet y sus usuarios mediante un capitalismo digital con centro en EEUU que no tenga alternativas posibles. Una estrategia que vigila a miles de millones de ciudadanos en el mundo, capaz de utilizar armas cibernéticas como parte de sus operaciones militares ordinarias, con gigantescas corporaciones como Google o Facebook que han construido sus imperios basándose en un espionaje en masa con fines comerciales. Aunque EEUU, mostrando un gran cinismo, votara en la Asamblea General de la ONU que la privacidad online es un derecho humano básico, conviene ampliar el foco y, más allá de la transgresión de esta u otra cláusula de protección de la privacidad, observar que lo que está en juego es la dominación global, de todas las esferas, particularmente la digital.

No es solo la capacidad de espiar impunemente los teléfonos móviles de la canciller alemana, Angela Merkel, o de la presidenta brasileña, Dilma Rousseff, como ya quedó demostrado. Tampoco, como acaba de anunciar Karperski Lab, empresa de seguridad con sede en Moscú, el descubrimiento de un virus -creado por los servicios secretos de EEUU- que ha infectado virtualmente las redes informáticas civiles y militares de más de 40 países en el mundo. Las respuestas de manual de que la NSA y el GCHQ trabajan «dentro del más estricto marco legal» no se sostienen de ninguna manera.

Lo que está en juego es el control y la posesión online del mundo y de la gente. Porque en esta era digital en la que a los ciudadanos prácticamente se les desnuda en los aeropuertos, en la que sus alegrías y tormentos internos se comparten en redes sociales y todos sus datos se recogen y se procesan, se debe interiorizar que nadie puede vivir sin dar información. Y que, si uno no es estricto y no toma precauciones -como el encriptaje de principio a fin de sus comunicaciones-, puede perder fácilmente el control de su propia vida.