Es, posiblemente, una de las próximas generaciones de amenazas a la seguridad informática. Un agujero que deja en bandeja de plata una nueva técnica de espionaje. Lo han definido como Simjacker. Un grupo de investigadores de la firma de seguridad Adaptive Mobile Security han descubierto un fallo en algunos modelos de tarjetas SIM que permite hackear un teléfono móvil a través del envío de un simple mensaje de texto o SIM, por el cual pueden descubrir información de la geolocalización del usuario infectado.

Adaptative Mobile Security cree que esta vulnerabilidad «ha sido explotada durante al menos dos años por un amenazante y sofisticado actor en varios países, principalmente por motivos de vigilancia». Describen Simjacker y sus exploits asociados como «un gran salto en complejidad y sofisticación comparado con otros ataques vistos previamente». Lo peor de todo, no hay nada que los usuarios puedan hacer, solo las operadoras pueden atajar el problema.

No es un problema específico de Android, iOS o cualquier otra plataforma móvil, sino de las tarjetas SIM que se utiliza en cualquiera de estos terminales. El problema se basa en el uso de un mensaje SMS especialmente formateado que acaba llegando al llamado UICC (Universal Integrated Circuit Card), la tarjeta inteligente que permite que las tarjetas SIM puedan hacer su trabajo.

Simjacker aprovecha una vulnerabilidad de las tarjetas SIM para tomar el control de algunos de nuestros datos del dispositivo. El ataque llega a través de un SMS que se salta el sistema operativo para acceder a una pieza de software conocida como Navegador S@T. A través de este tipo de ataques a la SIM parece ser posible espiar la ubicación de cualquier número de teléfono.

La operación se logra, pues el mensaje contiene órdenes para un software que ha formado parte de las tarjetas desde hace más de una década, el cual se llama S@T Browser y cuyas funciones eran que las operadoras supieran cuántos minutos para llamadas le quedaban a un usuario al final del mes.

Cabe destacar que, actualmente S@T Browser ya no se utiliza, pero tampoco se ha actualizado desde 2009, por lo que los piratas informáticos se han aprovechado de las debilidades que ha dejado libres, pues las operadoras de muchos países siguen integrando este programa como parte de sus tarjetas.

Adaptive Mobile Security estima que más de 1.000 millones de usuarios están potencialmente afectados por esta vulnerabilidad, pero resaltan que no se trata de una cifra exacta.