El Gobierno prepara un cambio obligatorio para todos los celulares: llega a fin de mes
Se vienen nuevas medidas para las prestadoras de telefonía. Llegan antes de fin de mes y son para evitar los hackeos. A qué modelos afecta.
Luego de los casos de hackeo que salpicaron a funcionarios del Estado, ahora el Gobierno les va a exigir a las empresas de celulares que incorporen medidas de biometría para resguardar la seguridad de los datos. Cómo va a funcionar el sistema y cuándo entra en vigencia.
La jueza federal argentina María Servini pidió al Ente Nacional de Comunicaciones (Enacom) que las empresas se ofrecen servicios de telecomunicaciones empiecen a usar datos biométricos para validar la identidad. De esa manera, el gobierno argentino busca evitar los casos de SIM Swap. El ente regulador de telecomunicaciones optó por solicitar información biométrica al requerir una nueva tarjeta SIM por hurto o sustitución.
Cómo funciona el SIM Swapping
Una operación de Sim Swapping funciona de la siguiente manera. Utilizando las funciones de la tarjeta SIM (módulo de identificación de abonado, según sus siglas en inglés, una tarjeta inteligente que sirve para conectarse a la red de telefonía del proveedor de servicios, conocida coloquialmente como "chip"), un actor malicioso puede verificar un número de teléfono en otro dispositivo.
La persona que intenta clonar el chip primero necesita que la SIM original deje de ser válida, ya que no es posible tener el mismo número activado en varios dispositivos. Para lograr que la información de la SIM se elimine, el hacker utiliza técnicas de engaño e ingeniería social para comunicarse con la empresa proveedora de servicios y denunciar una supuesta destrucción o extravío de la tarjeta.
Ahora, el proveedor del servicio de telefonía necesita verificar la identidad de quien hace la denuncia. Este es uno de los primeros exploits de la operación. Por un lado, las empresas no suelen verificar fehacientemente la identidad y, por el otro, muchos de los datos de personas públicas (como número de documento, domicilio, nombre completo) son de fácil acceso. En resumen, no es difícil engañar a un operador para que acceda al pedido de transferir la cuenta a otra tarjeta SIM ya que la anterior está, en teoría, en desuso.
Una vez que la empresa mueve los datos de conexión a otro chip, el aparato que tenga ese chip pasará a ser reconocido por los servicios y las aplicaciones como el dispositivo dueño de ese número. Es un proceso similar a cuando cambian un teléfono y se trata de activar WhatsApp en otro aparato: la aplicación envía un mensaje de texto al dispositivo que tenga la SIM asociada al número de teléfono que, a su vez, hace de identificar de cuenta de WhatsApp.
Los atacantes se hacen con el nuevo chip de diversas maneras. Pueden retirarlo en persona desde la oficina que la empresa de telecomunicaciones indique, puede enviarse como encomienda, entre otras opciones. Si una aplicación detecta que el número de teléfono que tiene el dispositivo está vinculado a una cuenta en la aplicación, el cerco de seguridad pierde casi toda su eficacia. Para la aplicación, se trata simplemente de un cambio de equipo por parte del usuario. Es un punto ciego en la tecnología a menos que se tomen medidas especiales de seguridad.
Qué va a cambiar ahora
Con el nuevo cambio que plantea el Gobierno, las empresas van a tener que agregar nuevos pasos de verificación enfocados en la biometría. Según estimaciones del sector, son unas 300.000 denuncias por mes las que llegan a las compañías, aunque la estafa del SIM Swapping; en concreto, representa tan solo el 0,05% de los ataques informáticos.
Para finales de este mes, Enacom publicará una resolución con las especificidades de la implementación del sistema biométrico que abarcará a todas las empresas de telefonía celular. La medida fue bien recibida incluso por la oposición: Silvana Guidici (PRO) y José Corral (UCR), directores del organismo, apoyaron la idea. Según trascendió, el sistema sería similar al que usan las apps bancarias.
Aunque, desde las empresas, expresan que la implementación no será fácil. Por caso, todavía no está claro si cada empresa tendrá que usar su propia base de datos o si se utilizará la base de datos de Renaper. Por otro lado, los usuarios tendrán que tener celulares que tengan disponible la función de verificación biométrica.
Compartí tus comentarios