El nombre de eSIM viene del término inglés embedded SIM, que significa SIM integrada
Si eres como yo, seguramente has adoptado la tecnología eSIM por su comodidad: no requiere tarjeta física, permite cambiar rápidamente de operador, es fácil de configurar y es perfecta para ir de vacaciones. Sin embargo, las eSIM no son completamente seguras y aún existen algunas maneras de hackearlas.
1. Estafas con códigos QR
Al configurar tu eSIM, sueles escanear un código QR proporcionado por tu operador. Los atacantes lo aprovechan creando códigos QR fraudulentos que se hacen pasar por herramientas de configuración legítimas. Escanear un falso código QR puede redirigir tu dispositivo a un perfil eSIM malicioso, lo que podría secuestrar tu conexión celular. Una vez comprometido, los atacantes pueden interceptar tus llamadas, mensajes y datos, lo que podría provocar robo de identidad o fraude financiero.
Para protegerte, verifica siempre los códigos QR a través de los canales oficiales del operador y evita escanearlos si provienen de fuentes no confiables o se encuentran en anuncios o sitios web sospechosos. Si tienes dudas, contacta directamente con tu operador para confirmar la autenticidad del código QR antes de escanearlo.
2. Phishing e ingeniería social
Los ataques de phishing están diseñados para engañarte y hacer que reveles información confidencial de tu eSIM. Por ejemplo, un ataque de phishing o ingeniería social puede suplantar la identidad de tu operador de telefonía móvil mediante correos electrónicos o mensajes de texto convincentes, instándote a descargar perfiles de eSIM maliciosos o a confirmar tus datos personales. Estos ataques pueden ser muy convincentes, imitando logotipos de operadores, información de contacto y idioma oficial, y además pueden enviarse desde una dirección de correo electrónico o una dirección de SMS falsificadas para parecer legítimos.
Aunque parezca que no tienes de qué preocuparte por un ataque de phishing de esta naturaleza (porque eres una persona común y corriente, sin un elevado patrimonio ni nada parecido), piénsalo de nuevo. Los ataques de phishing suelen ser de tipo "spray and praying", es decir, los atacantes envían una gran cantidad de mensajes fraudulentos con la esperanza de que alguien sea víctima.
Afortunadamente, puedes lidiar con los intentos de ataques de phishing de eSIM como lo harías con cualquier otro ataque de phishing: no respondiendo ni interactuando con ningún mensaje o llamada telefónica sospechosos.
3. Malware y spyware
Al igual que una tarjeta SIM normal, una eSIM es vulnerable al malware. Las aplicaciones maliciosas pueden acceder a información confidencial de tu eSIM, a tus comunicaciones e incluso monitorear la actividad de tu dispositivo. Al igual que otros ataques eSIM, el objetivo aquí es eventualmente tomar el control de tus comunicaciones eSIM con el fin de interceptar códigos de autenticación, que pueden permitir el acceso a tus cuentas seguras.
Cabe destacar que el malware dirigido específicamente a eSIM es poco común. En 2019, se descubrió el exploit Simjacker, pero actualmente no existe un ataque similar para eSIM (al menos, que sepamos). Es más probable que un dispositivo se infecte con malware diseñado para monitorear y robar datos, con el objetivo de acceder a la información de la eSIM.
Además, si bien el malware y el spyware pueden atacar y monitorear tu dispositivo, instalar malware real en una tarjeta SIM o eSIM es prácticamente inaudito, y ciertamente no al nivel de la mayoría de los atacantes. Es un acto de espías clandestinos; es mucho más probable que hagas clic en un enlace sospechoso que ser una de las primeras víctimas registradas de malware real para eSIM.
Para proteger tu dispositivo, instala solo aplicaciones de tiendas de aplicaciones confiables y revisa siempre los permisos cuidadosamente antes de otorgar acceso. Revisa tu teléfono regularmente para detectar aplicaciones desconocidas o sospechosas, elimina rápidamente el software innecesario o que no uses y usa un antivirus o software de seguridad confiable para identificar y eliminar posibles amenazas.
4. Vulnerabilidades de iOS y Android
Esto se relaciona con el malware y el spyware, ya que los atacantes intentarán aprovechar problemas conocidos en los dos principales sistemas operativos móviles para encontrar una forma de atacar tu eSIM. Desafortunadamente, los atacantes exploran constantemente Android e iOS en busca de vulnerabilidades que puedan explotarse para acceder a tu dispositivo.
En la mayoría de los casos, puedes mitigar estos problemas manteniendo tu dispositivo actualizado y evitando instalar aplicaciones de terceros. En el caso de los dispositivos Android, esto significa evitar la instalación de aplicaciones de forma local, ya que las tiendas de aplicaciones no oficiales pueden contener malware que puede infectar tu dispositivo. Ha habido numerosos ejemplos de malware que obtiene acceso a dispositivos a través de la carga lateral, como el ataque ToxicPanda que vació las cuentas bancarias en 2024.
Los ataques a eSIM aún no son tan comunes como los ataques a tarjetas SIM físicas. Si bien la tecnología eSIM empezó a cobrar fuerza con los iPhone XR, XS y XS Max, ahora hay más smartphones compatibles que nunca, lo que significa que su superficie de ataque está aumentando. A su vez, esto implica que más atacantes se centrarán en cómo explotar las eSIM, por lo que conviene saber a qué prestar atención.
