CK Geek: Vulnerabilidad crítica en eSIMs de Kigen pone en riesgo a miles de millones de dispositivos IoT.

Nueva vulnerabilidad descubierta en las tarjetas eUICC de Kigen pone en riesgo a miles de millones de dispositivos IoT que utilizan tecnología eSIM, permitiendo posibles ataques maliciosos que comprometen la seguridad y privacidad de las comunicaciones móviles.

¿Qué es una eSIM y por qué es importante?

La eSIM (SIM integrada) es una versión digital de la tradicional tarjeta SIM, que se instala como software en un chip eUICC (Embedded Universal Integrated Circuit Card o Tarjeta de Circuito Integrado Universal Incorporada). Este sistema permite cambiar de operador, gestionar suscripciones móviles y aprovisionar perfiles de forma remota sin necesidad de una tarjeta física.

Kigen, una empresa irlandesa, asegura haber habilitado más de 2 mil millones de SIMs en dispositivos IoT hasta diciembre de 2020.

La vulnerabilidad y su origen

El fallo fue descubierto por Security Explorations, un laboratorio de investigación especializado en seguridad, que recibió una recompensa de 30.000 dólares de parte de Kigen por su divulgación responsable.

El problema se origina en las versiones 6.0 y anteriores del perfil de prueba GSMA TS.48, un estándar utilizado para pruebas de cumplimiento de radiofrecuencia en productos eSIM. Estas versiones contenían fallos que no bloqueaban la instalación de applets JavaCard no verificados, lo que permitía a atacantes cargar software malicioso en la tarjeta eUICC.

Qué permite hacer el ataque

A pesar de que el ataque requiere acceso físico al dispositivo y el uso de claves públicas conocidas, los investigadores advierten que los grupos de amenazas patrocinados por estados podrían aprovecharlo para:

Instalar applets maliciosos en la eUICC
Extraer certificados de identidad del dispositivo
Descargar perfiles de operador móvil (MNO) en texto claro
Acceder a secretos de los operadores
Interceptar todas las comunicaciones
Impedir que el operador gestione remotamente la eSIM
Presentar al operador una visión falsa del estado del perfil

En resumen, los atacantes podrían implantar una puerta trasera persistente en la eSIM, lo que representa una grave amenaza para la seguridad de las comunicaciones móviles.

Reparaciones y mitigaciones

Tras la revelación, Kigen lanzó un parche de seguridad para su sistema operativo y colaboró con la GSMA para publicar una nueva versión del estándar: GSMA TS.48 v7.0, lanzada el 18 de junio. Esta versión incluye importantes medidas de mitigación:

Bloqueo de la instalación de applets JavaCard en perfiles de prueba
Restricción del uso de claves de gestión remota de applets (RAM), salvo solicitud explícita
Aleatorización de claves en los envíos futuros de perfiles que requieren RAM

Además, todas las versiones anteriores de TS.48 han sido oficialmente retiradas.

Este hallazgo se basa en una línea de investigación iniciada en 2019 por la misma empresa, que ya había identificado fallos en Java Card de Oracle, tecnología usada por múltiples fabricantes como Gemalto. Oracle minimizó entonces el impacto, pero los nuevos hallazgos refuerzan la gravedad de estas debilidades, ya que permiten vulnerar la seguridad de la memoria, el cortafuegos entre applets y, potencialmente, ejecutar código nativo en la tarjeta.

Aunque por un lado la explotación requiere condiciones específicas, como acceso físico al chip, se considera que la posibilidad de leer o alterar perfiles de eSIM de cualquier operador móvil representa un punto débil estructural en la arquitectura eSIM. Kigen ha comunicado sus mejoras de seguridad a la GSMA y a la industria en general, y ha manifestado su compromiso de seguir reforzando sus sistemas.