¿Son seguras las eSIM? Las tarjetas virtuales para obtener o añadir un número de teléfono en el smartphone se han convertido en una solución cada vez más popular, sobre todo cuando se viaja al extranjero. Las razones son sencillas: un buen número de teléfonos móviles las admiten ya, cuestan poco y, sobre todo, pueden instalarse en segundos, lo que ahorra un tiempo precioso a los viajeros. Mientras que para conseguir una tarjeta SIM física de un operador local hay que buscar un quiosco o una tienda y registrarse con la documentación, con las eSIM todo puede prepararse cómodamente de antemano desde casa y basta un toque para empezar a navegar o hacer llamadas al momento. Además, esta modalidad ahorra el plástico y los procesos de producción necesarios para fabricar los componentes electrónicos que requieren las SIM tradicionales.
Sin embargo, como ocurre con muchas tecnologías, ésta tampoco está exenta de aspectos oscuros: los enumera un reciente artículo de los investigadores Maryam Motallebighomi, Jason Veara, Evangelos Bitsikas y Aanjhan Ranganathan, de la Universidad Northeastern de Boston, Massachusetts, en EE UU, presentado en el Simposio de Seguridad Usenix de Seattle, un evento de referencia sobre seguridad informática.
Qué son las eSIM
Las eSIM son tarjetas SIM virtuales, entidades electrónicas que pueden cargarse en el teléfono a través de un chip integrado directamente en el smartphone. Éste almacena los datos de identificación del cliente con todos los detalles del plan personal (tráfico de datos, voz, SMS, roaming) igual que las tarjetas SIM físicas, pero se activa a distancia y sin necesidad de insertar componentes en el dispositivo. El procedimiento es sencillo: se compra una eSIM en uno de los muchos portales en línea, se recibe un correo electrónico en tiempo real con un código QR para escanear, y ya está lista para usar.
Desde la gama alta hasta la amplia categoría de gama media, cada vez hay más modelos preparados para eSIM. Esto incluye también a los iPhones (a partir de la familia 14), mientras que Samsung ya ha introducido la posibilidad de activación con un solo clic en los S25, sin necesidad de código QR. En resumen, la tecnología puede considerarse establecida y conocida por el gran público. Y precisamente por estas razones, es bueno ser conscientes de los peligros que puede acarrear.
Los puntos críticos de la tecnología eSIM
¿Cuáles son los principales riesgos de las eSIM? La respuesta corta está en la mezcla habitual de privacidad y seguridad. En un mercado en pleno crecimiento y con cada vez más proveedores, no faltan propuestas que se mueven en zonas grises que a menudo pasan totalmente desapercibidas para los usuarios. De hecho, la cuestión más crítica se refiere a la práctica de muchos minoristas de encaminar el tráfico de los usuarios por redes de terceros, que pueden estar situadas en países muy alejados de los que visitan y que no protegen adecuadamente los datos sensibles. En particular, el documento menciona las infraestructuras chinas.
Probando las eSIM
Un ejemplo muy práctico: un italiano viaja a Brasil, compra una eSIM para tráfico de datos con un nombre vago como Global Roaming, pero cuando va por el paseo marítimo de Río de Janeiro y chatea por WhatsApp con sus amigos de vuelta a casa, la dirección IP que identifica su ubicación está en realidad en Pekín, basada en un operador como China Mobile. Es más: desactivando el GPS y abriendo Google Maps o Apple Maps, el teléfono cree estar directamente en China. En realidad, los datos utilizados transitan por servidores e infraestructuras chinas, con la IP asignada de forma poco transparente y el usuario totalmente inconsciente.
Los investigadores probaron la seguridad de los eSIM comprando 25 soluciones de otros tantos minoristas, eligiendo un plan para navegar en Estados Unidos, y en el 40% de los casos se comprobó que la IP estaba fuera de EE UU: el ejemplo de enrutamiento a infraestructuras chinas se encontró también con grandes nombres como la popular Holafly (una empresa irlandesa). El enrutamiento de China Mobile, que en Asia también gestiona gran parte de las redes de otras naciones, se utilizó en todas las fases no solo para navegar, sino también para la propia activación.
El problema se plantea especialmente para los usuarios europeos, que normalmente gozan de mayores protecciones y salvaguardias que muchas otras naciones, pero que con este procedimiento pueden, por el contrario, ver sus datos expuestos a mercados con jurisdicciones con menor vigilancia y menos barreras a la privacidad. Y en materia de seguridad, abriendo la puerta a posibles acciones malintencionadas externas.
Comunicaciones ocultas
También hay otro comportamiento inquietante de las eSIM, las comunicaciones realizadas en segundo plano, invisibles, como si el smartphone realizara acciones por su cuenta. El documento menciona contactos entre la eSIM para el tráfico de EE UU a un servidor en Singapur, o un mensaje de texto recibido de Hong Kong que permanecía completamente oculto para el usuario. No hay explicaciones claras para estos sucesos, que podrían ser inofensivos (como actualizaciones del estado de la conexión) pero también ocultar algo aún por descifrar: sin duda, es otro punto oscuro a tener en cuenta para quienes se preocupan por cuestiones de privacidad y seguridad.
El documento explica cómo los revendedores de eSIM utilizan el truco de la infraestructura extranjera principalmente para abaratar costos, también en beneficio de la cuenta de resultados de los usuarios. Sin embargo, los consumidores no están adecuadamente informados y a menudo pueden elegir un plan en lugar de otro sin ser conscientes de los riesgos que corren.
DERECHOS DE AUTOR
Esta información pertenece a su autor original y fue recopilada del sitio https://es.wired.com/articulos/el-lado-oscuro-de-las-esim-esta-en-la-seguridad
