Un amigo mío se negó a usar un eSIM para su viaje a Estambul el año pasado. "No me fío", dijo. "¿Y si alguien hackea mi teléfono de forma remota y me roba el número?" A continuación, compró una SIM física en un quiosco aleatorio del aeropuerto Atatürk, entregó su pasaporte a un desconocido y rellenó un formulario con su dirección de casa.
La ironía se le escapó por completo.
Las preocupaciones de seguridad sobre el eSIM son comprensibles. Es tecnología más nueva, es invisible (no hay tarjeta física que puedas sostener), y la mayoría de la gente no entiende realmente cómo se conecta su teléfono a las redes. Así que vamos a desglosarlo sin jerga.
Cómo funciona realmente la seguridad del eSIM
Cada perfil eSIM se descarga a través de un sistema llamado SM-DP+ (no te preocupes por el acrónimo). Lo que importa es que este sistema usa cifrado de extremo a extremo entre el servidor y el chip embebido de tu teléfono. El perfil, que contiene tus credenciales de suscriptor, se cifra antes de salir del servidor y solo puede descifrarse mediante el elemento seguro específico de tu dispositivo.
Ese elemento seguro es hardware resistente a manipulaciones. Es la misma clase de chip que almacena los datos de tu tarjeta Apple Pay o tus huellas dactilares. Nadie lo lee de forma remota. Nadie lo clona chocando contigo en el metro.
Ataques de intercambio de SIM: el eSIM es en realidad más seguro
El intercambio de SIM es una amenaza real. Los delincuentes llaman a tu operador, les convencen de que son tú y portan tu número a una nueva SIM. Una vez que tienen tu número, interceptan los códigos de autenticación de dos factores y vacían tu cuenta bancaria.
El eSIM hace esto más difícil, no más fácil. Con una SIM física, el intercambio es sencillo: el operador desactiva tu tarjeta vieja y activa una nueva. Con el eSIM, la transferencia de perfil requiere autenticación a través de la plataforma de gestión de eSIM del operador, que normalmente implica capas adicionales de verificación.
Privacidad: ¿qué ve realmente tu proveedor de eSIM?
Tu proveedor de eSIM puede ver los mismos datos que ve cualquier operador: a qué torres móviles te conectas (ubicación aproximada), cuántos datos usas y cuándo estás conectado. No pueden ver el contenido de tu tráfico cifrado.
Los eSIM de viaje como TripoSIM tienen una ventaja de privacidad frente a tu operador de casa: son solo datos y temporales. Tu operador de casa tiene tu nombre, dirección, datos de pago y años de historial de ubicación. Un proveedor de eSIM de viaje tiene tu correo electrónico y un registro de uso de datos de 7 a 30 días. Luego expira.
La pregunta del código QR
La gente se preocupa por la interceptación del código QR. ¿Y si alguien hace una captura de pantalla de tu código QR y usa tu eSIM?
No funcionará. Cada código QR es de un solo uso y está vinculado al dispositivo. Una vez que escaneas e instalas el perfil, ese código QR está inutilizado. Aunque alguien tuviera una copia, recibiría un error. El servidor SM-DP+ lo marca como consumido en el momento en que tu teléfono completa la descarga.
Dicho esto, no publiques tu código QR en Instagram antes de instalarlo. El sentido común sigue aplicando.
Riesgos reales que vale la pena conocer
Teléfono perdido o robado. Si alguien roba tu teléfono y puede desbloquearlo, tiene acceso a tus perfiles eSIM. Igual que con una SIM física, salvo que no pueden sacarla y ponerla en otro dispositivo. Usa un código de acceso seguro. Activa Buscar mi iPhone o Encontrar mi dispositivo de Google.
WiFi no seguro durante la instalación. Necesitas internet para descargar un perfil eSIM. Si instalas mientras estás conectado a una red WiFi pública sospechosa, hay un riesgo teórico (énfasis en teórico) de un ataque de intermediario. El cifrado SM-DP+ lo hace extremadamente improbable, pero si eres paranoico, instala a través del WiFi de casa o los datos móviles existentes de tu teléfono.
Phishing. Alguien podría enviarte un correo falso de "tu eSIM está listo" con un código QR malicioso. Esto no instalaría malware, pero perderías tiempo y potencialmente compartirías información personal en una página de pago falsa. Solo escanea códigos QR del sitio web o correo electrónico real de tu proveedor de eSIM.
La conclusión honesta
El eSIM es al menos tan seguro como la SIM física y, en varios aspectos importantes, es más seguro. El cifrado es robusto. El hardware es resistente a manipulaciones. Los ataques de intercambio de SIM son más difíciles. Los códigos QR son de un solo uso.
¿Mi amigo que compró esa SIM del aeropuerto en Estambul? Su SIM física dejó de funcionar a los dos días y no tuvo recurso alguno porque el vendedor del quiosco ya no estaba. Usó el hotspot de mi eSIM el resto del viaje. Ahora es un converso al eSIM.
Si sigues nervioso, empieza con un viaje corto. Compra un plan de 7 días, pruébalo, ve cómo funciona. Te preguntarás por qué te preocupabas.