La información se basa en documentos provistos en 2010 por Edward Snowden, el ex contratista de inteligencia de la National Security Agency (Agencia Nacional de Seguridad) de Estados Unidos, y fue difundida el jueves 19 por el sitio web The Intercept (https://firstlook.org/theintercept/2015/02/19/great-sim-heist/). En la operación participó también una de las tres agencias de inteligencia británica, General Communications Headquarters (Gchq, Cuartel General de Comunicaciones).
Gemalto había sido puesta al tanto ya el martes o el miércoles de la información que se publicaría, y el viernes emitió un comunicado afirmando que se tomaba muy en serio la información y que su seguridad interna estaba buscando rastros de la operación en sus servidores. Ese día sus acciones cayeron 7,5 por ciento. La empresa está basada en Holanda, tiene 12 mil empleados, en 2013 inscribió 110 patentes, además de innovaciones en otras ya presentadas, y ese año tuvo ingresos por 2.732 millones de dólares, con ganancias por 400 millones de dólares.
La compañía opera en 85 países, tiene 40 plantas de fabricación y entre sus clientes se cuentan AT&T, Mobile, Verizon, Sprint y unos 450 proveedores de cobertura aérea. Su producción anual es de 2.000 millones de tarjetas Sim y su lema es “Seguridad para ser libre”.
La operación de inteligencia penetró además un número no especificado de servidores de empresas de celulares, obteniendo acceso a la estructura de comercialización para conseguir información de clientes y de la ingeniería de redes. En un slide secreto filtrado que The Intercept publica, Gchq afirma tener la capacidad de manejar el servicio de facturación y así suprimir los cargos por comunicaciones provocadas por el espionaje a un teléfono dado.
También, y más importante, afirma The Intercepter, fueron penetrados los servidores de autentificación, de modo de descifrar la clave del criptograma que encubre la trasmisión de datos y la identificación de la voz, tanto del usuario como del proveedor del servicio (o sea, de la comunicación entrante). Una nota que acompaña el slide afirma que la agencia de espionaje “está muy contenta con la información lograda hasta ahora y está trabajando sobre la vasta cantidad del producto logrado”.
El operativo fue negado por la inteligencia británica, pero ya provocó protestas del parlamento holandés y un pedido de explicación al gobierno presentado por una organización que lucha por la libertad de la web. Además mereció la drástica evaluación de Matthew Green, especialista en criptografía del Instituto de Seguridad en la Información de la Universidad John Hopkins: “Obtener acceso a la base de datos de códigos es realmente un final de juego para la encriptación celular. Este robo masivo es una mala noticia para la seguridad telefónica; realmente una mala noticia”.