A Agência de Segurança Nacional (NSA) dos Estados Unidos e o Quartel-General de Comunicações do Governo (GCHQ) do Reino Unido se juntaram em abril de 2010 para quebrar a criptografia das comunicações de celulares ao redor do mundo. Os órgãos espionaram a Gemalto, fabricante franco-holandesa que produz mais de 2 bilhões de SIM cards por ano. A informação é do The Intercept, com base em documentos confidenciais fornecidos por Edward Snowden.

Os SIM cards são fabricados com uma chave de criptografia única (Ki), usada sempre que você faz uma ligação, envia um SMS ou acessa a internet. Seu smartphone entra em contato com a torre de celular, confere se o Ki bate com o da operadora e então inicia uma comunicação protegida. O problema é que, usando uma torre falsa e, de posse de uma lista de chaves, é possível espionar chamadas sem que o usuário perceba.

Segundo a publicação, a NSA e o GCHQ roubaram milhões de chaves de criptografia de SIM cards. O número exato não foi divulgado, mas os documentos revelam que, em 2009, a NSA tinha capacidade para processar entre 12 e 22 milhões de chaves por segundo.

Como eles conseguiram roubar essas chaves? A distribuição dos Kis não parece tão segura: as fabricantes de SIM cards costumam enviá-los para as operadoras por email ou servidor FTP. Em apenas duas semanas, entre 2009 e 2010, o GCHQ acessou 130 emails de pessoas ligadas a operadoras e fabricantes de SIM cards, gerando uma lista de 8 mil chaves de 10 países. Em março de 2010, foi possível coletar quase 100 mil chaves da Somália.

À Reuters, a Gemalto se pronunciou nesta sexta-feira (20) sobre o caso, afirmando que levou a notícia a sério e está investigando o problema. A empresa possui como clientes mais de 450 operadoras, incluindo as quatro grandes do Brasil. Além de produzir SIM cards, a companhia fabrica chips EMV para cartões de crédito e débito — inclusive, se você der uma olhada na traseira do seu cartão, é bem provável que encontre a marca da Gemalto em algum canto.

Relacionados