La conveniencia tiene un precio! Reveladas las cuatro principales vulnerabilidades invisibles de eSIM: exposición de privacidad, riesgos de vigilancia emergentes

La tecnología eSIM está acelerando la sustitución de las tarjetas físicas, pero una arquitectura conveniente para la gestión remota oculta múltiples riesgos. Investigaciones han descubierto problemas en la transmisión de datos hacia jurisdicciones judiciales específicas en roaming internacional.

El auge de la tecnología eSIM y los riesgos de su arquitectura

La tecnología de comunicaciones móviles entra en una fase profunda de transformación digital, y las tarjetas SIM físicas tradicionales están acelerando su salida del escenario. Según predicciones de GSMA, para 2028 el 50% de los teléfonos inteligentes en todo el mundo soportarán completamente la tecnología eSIM.

Esta transformación alcanzó su punto máximo tras el lanzamiento del modelo “eSIM Only” en el mercado estadounidense con el iPhone 14. La principal ventaja del eSIM (módulo de identidad del usuario embebido) es la gestión remota (Remote SIM Provisioning, RSP), que permite a los usuarios cambiar de plan de telecomunicaciones escaneando un código QR o descargando una aplicación. Sin embargo, la conveniencia oculta riesgos estructurales profundos.

Un informe de la Universidad de Northeastern señala que el diseño del eSIM amplifica los riesgos asociados a las SIM tradicionales, y que la introducción de procesos complejos de gestión remota y la baja transparencia de los terceros agentes abren nuevas superficies de ataque. La identificación pasa de un chip físico a un flujo de trabajo digital, poniendo en duda el control del usuario sobre la seguridad de sus comunicaciones.

Las trampas del roaming internacional, revelando el flujo de datos y la exposición de jurisdicciones

Una investigación profunda del mercado de eSIM para viajes muestra que los datos de los usuarios a menudo son dirigidos sin su conocimiento hacia jurisdicciones judiciales extranjeras específicas. La mayoría de los proveedores de eSIM para viajes utilizan una arquitectura de “roaming enrutado en casa” (Home-Routed Roaming, HRR). Incluso si el usuario está en Estados Unidos y accede a una red local, todo el tráfico de red, registros de navegación y datos de uso de aplicaciones son encapsulados y enviados de regreso a la “red de origen” del proveedor de eSIM para su procesamiento.

Experimentos demuestran que, al usar servicios como Holafly, con sede en Europa, incluso en Estados Unidos, los datos pasan por infraestructura de China Mobile, haciendo que la IP pública del dispositivo se marque como ubicada en China.

Fuente de la imagen: USENIX, detalles de direcciones IP, ubicación geográfica y ISP de varios proveedores de eSIM

Este mecanismo otorga a operadores extranjeros la capacidad de monitorear las actividades en línea de los usuarios. Aunque algunas regiones tienen leyes de privacidad como GDPR que limitan el procesamiento de datos, en la compleja cadena técnica del roaming internacional, la regulación aún presenta zonas grises, y los usuarios enfrentan riesgos de vigilancia en el extranjero.

¿Privacidad en riesgo? Comunicación silenciosa y monitoreo no autorizado

El umbral de entrada al mercado de eSIM es extremadamente bajo, y surgen numerosos revendedores sin regulación. Investigadores, al registrarse como revendedores, descubrieron que con solo un correo electrónico y una tarjeta de crédito pueden acceder fácilmente a datos sensibles del backend del usuario.

En plataformas como Telnyx, los paneles de control de los revendedores permiten monitorear en tiempo real el estado de activación de la eSIM y el uso de datos, incluso obtener información de localización basada en torres celulares. Algunos revendedores tienen permisos para “asignar IP pública fija” y “enviar mensajes binarios (Binary SMS)”, lo que permite a actores maliciosos evadir protecciones del dispositivo y enviar cargas útiles maliciosas o establecer canales de control.

Además, mediante hardware especializado como sysmoEUICC1, se ha detectado que servicios como eSIM Access inician en segundo plano “comunicaciones proactivas”. Sin ninguna app en ejecución o interacción del usuario, la eSIM intercambia silenciosamente datos con servidores en Singapur o Hong Kong. Esta actividad oculta, basada en herramientas de la caja de herramientas de aplicaciones SIM (STK), pone en riesgo la seguridad del dispositivo móvil del usuario.

Desde mecanismos de eliminación fallidos hasta amenazas de DoS

La gestión del ciclo de vida de la eSIM involucra una sincronización muy precisa entre el dispositivo, el hardware eUICC y el servidor SM-DP+. Datos experimentales muestran que este flujo digital es extremadamente vulnerable en ciertos escenarios.

El fallo más típico ocurre en el estado de “eliminación offline”. Cuando un usuario elimina el perfil de la eSIM sin conexión a internet (por ejemplo, desactivando Wi-Fi o en una zona sin señal), el dispositivo no puede enviar notificaciones de actualización de estado al servidor remoto. Cuando el servidor aún considera que el perfil está “instalado”, incluso si el usuario vuelve a escanear el código QR original, fallará por un error de “reinstalación duplicada”, provocando una denegación de servicio (DoS).

Este bloqueo técnico generalmente requiere intervención manual del operador para ser resuelto. Además, algunos proveedores pueden usar restricciones de almacenamiento para instalar perfiles excesivamente grandes y agotar la capacidad del hardware, bloqueando así la instalación de servicios de la competencia. Las regulaciones deberían exigir a los operadores implementar múltiples autenticaciones (MFA) para prevenir ataques de intercambio de SIM (SIM Swapping) y establecer estándares transparentes de gestión digital que protejan la soberanía del usuario en sus comunicaciones.