Simjacker: así funciona el ataque que “obedece” a tu tarjeta SIM y qué puedes hacer al respecto

Por /
Compartir en Pinterest Compartir en WhatsApp

Simjacker aprovecha un applet antiguo del SIM Toolkit —conocido como S@T Browser— para enviar a la tarjeta SIM SMS con comandos especiales (binarios y silenciosos) que el terminal ejecuta sin mostrar nada al usuario. El resultado va desde localizar al abonado mediante el identificador de celda, hasta forzar acciones como enviar SMS, iniciar llamadas, abrir URLs o, en algunos casos, desactivar la SIM. No es un fallo del teléfono, sino de algunas SIM/eSIM que aún incluyen ese applet o lo tienen mal configurado.

¿Qué es Simjacker, exactamente?

  • La base: muchas SIM/eSIM integran SIM Toolkit (STK), un conjunto de applets para menús del operador (saldo, recargas, etc.). Uno de ellos es S@T Browser, usado para mostrar “páginas” del operador en un formato simple y para lanzar acciones (enviar un SMS, abrir un enlace, etc.).
  • El vector: un atacante envía un SMS binario (clase 2) con comandos STK dirigidos a S@T Browser. La SIM procesa el mensaje y ordena al teléfono ejecutar ciertas acciones.
  • La clave: los SMS y respuestas no aparecen en la bandeja del usuario (van por canales de señalización), por lo que la víctima no ve nada.

¿Qué información se filtra y qué acciones son posibles?

  • Geolocalización aproximada: la SIM puede pedir al teléfono el Cell-ID (identificador de celda) y enviarlo al atacante. Cruzando ese ID con bases públicas/privadas, se obtiene la zona en la que estás (decenas o cientos de metros en entornos urbanos).
  • Acciones forzadas: en función del terminal y la configuración STK, se pueden iniciar llamadas, enviar SMS a números arbitrarios, abrir URLs (útil para phishing), o incluso desactivar la SIM. Algunos dispositivos piden confirmación; otros no.

Importante: el ataque no instala malware en el teléfono ni “toma el control” del sistema operativo. Abusa de un canal de control de la SIM que, en determinadas tarjetas y redes, no estaba debidamente restringido.

¿Quién está en riesgo?

  • SIM y eSIM por igual: la vulnerabilidad depende del applet y la política de la tarjeta/operador, no del formato físico.
  • Cobertura global desigual: se detectó en múltiples países y redes con S@T Browser activo o mal configurado.
  • IoT también: dispositivos M2M/IoT con SIM pueden ser vulnerables si su pila STK acepta comandos inseguros.

¿Por qué existía esta superficie de ataque?

S@T Browser es un applet heredado que facilitaba servicios del operador cuando los teléfonos no tenían apps ricas. En muchos despliegues no se actualizó o no se restringió con reglas modernas, dejando abierta la posibilidad de aceptar comandos más allá de lo previsto. Además, los SMS de señalización pueden sortear bloqueos si la red no inspecciona y filtra adecuadamente.

Qué han hecho/pueden hacer las operadoras

La mitigación es principalmente del lado de la red y la SIM:

  • Desactivar o restringir S@T Browser/WIB en tarjetas afectadas (vía OTA o sustitución de SIM).
  • Filtrar en red los SMS binarios con comandos STK peligrosos (“firewall de SMS”).
  • Aplicar guías de seguridad (GSMA, SIMalliance/GlobalPlatform) y políticas que limiten las acciones STK a listas blancas.
  • Revisar configuraciones de SIM Toolkit y capas SS7/Diameter/SIGTRAN para evitar abusos.

¿Qué puede hacer el usuario?

No hay un “antivirus de SIM” que el usuario pueda instalar, pero sí medidas sensatas:

  1. Pide a tu operador una SIM nueva si sospechas que usas una muy antigua o si la operadora reconoce haber sustituido tarjetas por este motivo.
  2. Mantén 2FA sin SMS siempre que sea posible (TOTP o passkeys/FIDO), para reducir el valor de interceptar mensajes.
  3. Desconfía de comportamientos raros: pérdida repentina de cobertura/servicio, llamadas/sms salientes que no recuerdas, consumo anómalo… y contacta al soporte.
  4. Para empresas/IoT: revisa con el operador perfiles eSIM, políticas STK, APN privados y filtrado de SMS; aplica MDM/UEM en móviles de flota.

Diferencias con otros fraudes: Simjacker vs. SIM swapping

  • Simjacker: abuso técnico del canal STK/SMS para pedir datos de ubicación y/o forzar acciones. No cambia de “dueño” tu número.
  • SIM swapping: suplantación en procesos de la operadora para migrar tu línea a otra SIM del atacante. Es más común y devastador para cuentas con 2FA por SMS.
  • Defensas: Simjacker se corrige en red/SIM; el swapping exige bloqueos de portabilidad, alertas y uso de 2FA robusta.

Lo esencial

  • Simjacker no es un “virus” tradicional ni un exploit del teléfono, sino un abuso de applets STK en algunas SIM/eSIM.
  • La protección depende, sobre todo, de operadores: desactivar S@T/WIB inseguros y filtrar SMS de señalización.
  • Para usuarios y empresas, la mejor defensa es presionar por SIM modernas, evitar SMS como 2FA principal y vigilar anomalías en la línea.

FAQ

¿Mi móvil Android/iPhone “parchea” Simjacker?
No es una vulnerabilidad del sistema operativo del teléfono, sino de la SIM/red. Algunas acciones pueden requerir confirmación en ciertos terminales, pero la mitigación real es de operador/SIM.

¿eSIM es inmune?
No. eSIM (eUICC) puede ser vulnerable si el perfil incluye S@T/WIB sin restricciones. La ventaja es que el operador puede actualizar perfiles o retirarlos de forma remota.

¿Puedo desinstalar SIM Toolkit o S@T Browser?
En general no: el applet vive en la SIM, no en el teléfono. Puedes ocultar la app SIM Toolkit del móvil, pero eso no desactiva el applet de la SIM.

¿Cómo sé si estoy afectado?
Es difícil para un usuario: los SMS son silenciosos. Si sospechas, pide cambio de SIM y consulta si la operadora ha aplicado filtrado/mitigaciones.

¿Puede Simjacker vaciarme la cuenta del banco?
Por sí solo, no “entra” en el banco. Pero podría abrir una URL de phishing o forzar SMS a números de tarificación. Por eso conviene no usar SMS como 2FA principal y vigilar el detalle de llamadas/SMS.

¿Afecta a IoT/vehículos conectados?
Sí, si usan SIM con S@T/WIB sin políticas. Para flotas IoT, exige a tu operador perfiles seguros, filtrado y auditoría de STK.

¿Basta con poner modo avión o bloquear SMS?
Modo avión corta el radio, pero el vector es el SMS de señalización: no es una solución práctica. El bloqueo efectivo lo aplica el operador filtrando y restringiendo el applet.

¿Qué le pido a mi operadora para quedarme tranquilo?
Confirma que han desactivado S@T/WIB inseguros, que aplican firewall de SMS STK y, si procede, solicita SIM/eSIM nueva con políticas actualizadas.

En dos líneas: Simjacker explota software antiguo en algunas SIM. La solución está en la red y la SIM (no en tu móvil): desactivar applets inseguros y filtrar comandos. Mientras tanto, minimiza tu dependencia de SMS y vigila tu línea; para empresas, políticas STK estrictas, filtrado y perfiles eSIM gestionados.

vía: kaspersky

Compartir en Pinterest Compartir en WhatsApp

Entradas relacionadas

Scroll al inicio