Una vulnerabilidad crítica en la tecnología ESIM permite a los atacantes clonar perfiles de suscriptores móviles e identidades de teléfono de secuestro.
AG Security Research reveló que rompieron la seguridad de las tarjetas Kigen EUICC con certificados de consumidores GSMA, marcando lo que afirman que es el primer truco público exitoso contra el consumidor GSMA EUICC y los chips de seguridad GSMA con certificación EAL.
El equipo de investigación extrajo claves privadas de ECC de tarjetas EUICC comprometidas y demostró la capacidad de descargar perfiles ESIM de los principales operadores de redes móviles, incluidas AT&T, Vodafone, O2, Orange y T-Mobile, en formato ClearText.
Control de llave
1. Investigadores piratearon con éxito tarjetas Kigen EUICC, extrayendo claves privadas y descargando perfiles de ESIM de los principales operadores en formato sin cifrar.
2. Las pruebas en vivo demostraron el secuestro completo de identidad del teléfono, con atacantes interceptando todas las llamadas, SMS y códigos de autenticación de dos factores sin detectar.
3. La vulnerabilidad afecta a más de 2 mil millones de SIM, lo que permite que un certificado comprometido acceda a los perfiles ESIM de cualquier operador móvil a nivel mundial.
4. Kigen desplegó parches de seguridad a millones de ESIM, mientras que GSMA cerró los perfiles de prueba y actualizó las especificaciones de seguridad de la industria.
Este avance representa una violación de seguridad significativa en el ecosistema ESIM, que procesa más de 2 mil millones de sims habilitados por el SIM OS de Kigen, de acuerdo a comunicados de prensa de la empresa.
La falla de la tarjeta Java permite la clonación remota
El ataque explota defectos fundamentales en la implementación de la máquina virtual de tarjetas Java, específicamente dirigirse a vulnerabilidades de confusión de tipo similar a los problemas reportados en 2019.
Los investigadores desarrollaron una prueba de concepto que imita la instalación de applet de malicioso sobre el protocolo OTA SMS-PP (Servicio de mensajes cortos en punto a punto).
La vulnerabilidad permite a los atacantes evitar múltiples mecanismos de seguridad, incluida la certificación EAL4/5, las contramedidas de ataque de canales laterales y las características de seguridad de tiempo de ejecución de tarjetas Java.
El vector de ataque requiere acceso físico a la tarjeta de destino junto con el conocimiento de las claves de instalación o la explotación remota a través de los canales OTA.
Los elementos técnicos críticos comprometidos incluyen las claves OPC de los operadores de red y el campo de gestión de autenticación (AMF): dos claves secretas esenciales integradas en los perfiles ESIM que deberían ser “salvaguardar por los operadores de red a cualquier costo”.
El conjunto de herramientas de los investigadores implementa un comando Basic Security Check (BSC) que evalúa la seguridad EUICC con capacidad de tarjetas Java a través de varias evaluaciones de vulnerabilidad de bytecode.
La demostración más alarmante implicó pruebas exitosas de clonación de ESIM realizadas en la red de Orange Polonia en julio de 2025.
Los investigadores instalaron perfiles de ESIM naranjas idénticos en dos tarjetas EUICC físicas diferentes y demostraron un secuestro completo de identidad de suscriptores.
Cuando se activó el dispositivo malicioso, inmediatamente comenzó a recibir todas las llamadas y mensajes SMS destinados al suscriptor legítimo.
Esta capacidad de clonación plantea riesgos severos para los sistemas de autenticación de dos factores, ya que los atacantes pueden interceptar códigos de verificación basados en SMS para servicios como Gmail y plataformas de banca electrónica.
Los investigadores confirmaron que los usuarios legítimos siguen sin darse cuenta del secuestro, ya que no aparece ningún rastro visible en el extremo del usuario.
Kigen tiene respondido Al implementar las verificaciones de seguridad de tipo en aproximadamente 180 instrucciones en el código de byto de Javacard y coordinar con GSMA para actualizar la especificación de perfil de prueba genérica TS.48.
La compañía distribuyó parches a millones de ESIMS y emitió un boletín de seguridad que detalla las estrategias de mitigación.
GSMA también tiene publicado nuevo Notas de la aplicación y cierre todos los perfiles de prueba para evitar instalaciones no autorizadas de aplicaciones de tarjeta Java.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
