Las últimas revelaciones de Edward Snowden, ex analista de la Agencia de Seguridad Nacional de Estados Unidos, sobre el hackeo de tarjetas SIM de la firma Gemalto, es un alerta para que los usuarios de todo el mundo comiencen a tomar medidas adicionales para proteger su seguridad y privacidad en los teléfonos móviles.
Días atrás Snowden, entregó documentos a la revista electrónica The Intercept que muestran una operación realizada desde 2010 por la NSA y los órganos de seguridad del Reino Unido para apropiarse de las claves de encriptación de las tarjetas SIM fabricadas por Gemalto.
Esas tarjetas se usan para almacenar contactos, mensajes de texto o la lista de contactos, pero también para transferir dinero y son las que se encargan de cifrar las comunicaciones para dar privacidad a los usuarios, explicó el director de Innovación Tecnológica de la empresa de seguridad informática Trend Micro, Juan Pablo Castro.
En el SIM se instala una clave privada de cifrado y todo cifrado es seguro, siempre y cuando las claves se mantengan adecuadamente resguardadas. El problema surge si alguien logra hacerse con esa clave, por eso el objetivo de las agencias era interceptarlas, no sólo las de Gemalto, sino de todos los fabricantes.
Una forma para proteger la privacidad, ya que no se sabe si esta operación continúa o cuántas llaves fueron robadas, es utilizar redes virtuales privadas en los teléfonos celulares, ya que éstas brindan un cifrado adicional no relacionado con la tarjeta SIM cuando se utiliza el servicio de datos.
Para las comunicaciones por voz es un poco más difícil protegerse porque éstas utilizan la tarjeta SIM, sin embargo una opción es utilizar servicios de voz sobre IP, algunas aplicaciones de mensajería por red como LINE, BlackBerry Messenger y otras ya brindan esta opción.
Otras alternativas son aplicaciones como TextSecure y Silent Text para mensajes de texto, mientras que Signal, RedPhone y Silent Phone pueden encriptar las llamadas de voz realizadas.
Ante estas revelaciones y otras pruebas sobre el espionaje que realizan autoridades del Reino Unido, el equipo de Privacy International lanzó una campaña para que los usuarios puedan confirmar si fueron espiados.
Para ello solicitan el nombre, apellido y correo como datos obligatorios, número de teléfono como opcional, aunque debe tomarse en cuenta que los términos de privacidad indican que la información brindada se compartirá con dicha agencia.
Para Mikael Albrecht, consejero de Seguridad de F-Secure Labs, esa condición impuesta en la campaña de Privacy International es un recordatorio de que se debe pensar dos veces antes de enviar información privada. “Siempre hay que tener presente, ¿para qué se envía? y ¿a quién?”, recomendó.
