Vulnerabilidad eSIM CVSS 9.1: clonacion, interceptacion y lo que revela la senalizacion
Investigadores clonaron una eSIM Orange sin alertar a la victima. Interceptacion de llamadas, robo de SMS 2FA, destruccion de chip. Analisis tecnico de la falla eUICC y rol del diagnostico de campo.
Investigadores de AG Security Research acaban de demostrar la clonacion completa de un perfil eSIM Orange Polonia. Sin alertar a la victima. Sin acceso fisico al terminal. Puntuacion CVSS: 9.1 sobre 10. Critico.
El ataque permite la interceptacion de llamadas y SMS (incluidos codigos 2FA), y puede llegar hasta la destruccion permanente del chip eUICC. Otros fabricantes (Thales, NXP) podrian estar afectados.
La arquitectura eSIM
La eSIM no es simplemente una SIM virtual. Es una plataforma segura (eUICC) capaz de almacenar multiples perfiles de operador y activar uno remotamente.
La arquitectura se basa en:
- eUICC: chip fisico soldado en el terminal
- SM-DP+: servidor del operador que prepara y descarga perfiles
- SM-DS: directorio de descubrimiento
- LPA: software en el terminal que gestiona perfiles
- Protocolos OTA: comunicacion remota con el eUICC, frecuentemente via SMS
El ataque: clonacion silenciosa via OTA
Vector de ataque
- Envio de un SMS OTA especialmente formateado al eUICC objetivo
- Explotacion de vulnerabilidad Java Card en el procesamiento del mensaje por el chip Kigen
- Extraccion del perfil eSIM: credenciales de autenticacion (Ki, OPc) exfiltradas
- Clonacion del perfil en otro eUICC o simulador SIM
- El atacante puede suplantar a la victima en la red
Que puede hacer el atacante
- Interceptar todas las llamadas destinadas a la victima
- Recibir los SMS de la victima, incluidos codigos 2FA
- Emitir llamadas y SMS en nombre de la victima
- Acceder a servicios vinculados al numero (banca movil, redes sociales)
- Destruir el chip eUICC de la victima (brick permanente)
| Fabricante eUICC | Cuota estimada | Estado |
|---|---|---|
| Kigen (ARM) | Significativa | Confirmado vulnerable |
| Thales | Lider mundial | Investigacion en curso |
| NXP | Importante | Investigacion en curso |
Lo que la senalizacion de campo revela
Trazas OTA en el Layer 3
Los mensajes OTA transitan por la red movil como SMS especificos (SMS-PP). Son visibles en la capa de senalizacion NAS.
Un decodificador Layer 3 capturando mensajes NAS en tiempo real puede detectar:
1. SMS OTA no solicitados: fuera del contexto normal del operador, son senal de alerta.
2. Secuencias de autenticacion anormales: si un perfil esta clonado y activo en otro terminal, la red ve dos terminales con la misma identidad, generando Paging Requests anormales y Authentication Reject.
3. Cambios de TMSI acelerados: pueden indicar resincronizacion tras clonacion.
4. Redirecciones inter-RAT sospechosas: algunos ataques fuerzan downgrade a 2G para explotar la ausencia de cifrado.
Recomendaciones
Para equipos de seguridad de operadores
- Auditar los chips eUICC del parque de terminales
- Desplegar filtrado OTA reforzado en plataformas SMS
- Implementar deteccion de doble registro en el HSS/UDM
- Realizar campanas de auditoria de campo con decodificador Layer 3
Para ingenieros de campo
- Anadir la vigilancia OTA a las campanas de drive test estandar
- Documentar baselines de senalizacion para cada zona cubierta
- Alertar sobre SMS OTA no solicitados capturados en campo
Para usuarios
- Preferir autenticacion por aplicacion (TOTP) en vez de SMS
- Vigilar desconexiones de red inexplicables
- Contactar al operador ante comportamiento sospechoso del terminal
La eSIM debia reforzar la seguridad eliminando la SIM fisica. La falla CVSS 9.1 recuerda que la seguridad no depende del factor de forma, sino de la implementacion. Y la implementacion se verifica en el campo.
Fundadora de HiCellTek. +15 años en telecomunicaciones, lado operador, lado fabricante, lado campo. Construyendo la herramienta de campo que los ingenieros RF merecen.
Solicita una demostración personalizada de HiCellTek, diagnóstico de red 2G/3G/4G/5G en Android.