(+34) 910 42 42 93 [email protected]

CloudFlare es una de esas empresas que siempre está intentando innovar en materia de seguridad.

Su producto estrella, la CDN de CloudFlare, es ya parte fundamental del Internet occidental, hasta el punto de que cuando se cae (que no ocurre casi nunca, pero hace un par de años tuvieron una caída de varias horas) medio Internet desaparece, esta página incluida.

Y estos días, aprovechando el rebufo del lanzamiento del nuevo iPhone, que en EEUU vendrá con la opción de solo eSIM, han sacado su propia tarjeta SIM.

¿Significa entonces esto, Pablo, que CloudFlare quiere competir con telcos como AT&T? Pues no, claro que no.

Lo que están ofreciendo es un conjunto de estándares de seguridad para que empresas como Telefónica o Vodafone, si quieren, utilicen toda o parte de su arquitectura para salvaguardar la seguridad de sus clientes.

Y se centra principalmente en tres puntos:

DNS seguras

Cuando nos conectamos desde el móvil usando la tarifa de datos que nos ofrece el operador, lo más normal es que usemos las DNSs del operador. Unas DNSs que además de ser de media más lentas que otras opciones del mercado, no cuentan con una política de listas blancas y negras a priori tan bien implementada como la de CloudFlare.

Disclaimer: Te explico por aquí cómo y por qué cambiar las DNS de tu dispositivo.

Es más, un servidor lleva por defecto las DNSs de CloudFlare (antes llevaba las de Google) activas en todos mis dispositivos.

Con esto lo que ganamos es algo más de rapidez (está claro que CloudFlare, que cuenta con una CDN mundial, puede devolver peticiones más rápido que lo que puede hacerlo una operadora local…), pero además, probablemente tengan ya fichados, antes que nadie, la mayoría de campañas de phishing, de forma que cuando un usuario intente meter sus datos en una página fraudulenta, es más probable que la lista negra de su CDN ya lo haya identificado como tal, no permitiéndole acceder a dicha página.

Así, ZTS permitiría revisar las solicitudes DNS en el propio teléfono, antes de enviarse al operador, verificando no solo por el host, sino también por la dirección IP si esa conexión entraña algún riesgo.

Queda en duda saber cómo queda el tema de las DNSs que tiene más que ver con la censura y el control, y es que frente a las DNSs de operadoras locales, sujetas a una regulación que en algunos países puede considerarse claramente censora (en nuestro país por ejemplo hay una persecución clara a las páginas de descargas, ofrezcan ellas contenido pirata o no), las de CloudFlare son de las más neutrales de la industria, y esto se traduce en que podrás acceder a priori a más contenido, esté o no permitido en tu país.

Y digo que esto está en duda porque me ha parecido entender, por la poca información que tenemos actualmente, que esta SIM trabajará a la vez con las listas negras de CloudFlare, y con las de la operadora, por eso de no desincentivar que las telco, que actualmente son las principales empresas que ofertan conectividad por celdas, vean a CloudFlare como un posible competidor futuro.

Protección frente al SIM Swapping

Uno de los ataques dirigidos más comunes actualmente es el llamado SIM Swapping, que ya expliqué cómo funciona en su día, pero que podemos resumir en que alguien (el atacante) se hace pasar por ti frente a la operadora para que esta le cree un duplicado de la SIM a su localización, robándote con él tu identidad digital, al estar muchos servicios digitales asociados a nuestro número de teléfono.

Con la SIM de CloudFlare aseguran que tendrán los controles de seguridad adecuados para evitar este tipo de usurpaciones de identidad, presumiblemente no poniendo las cosas fáciles, como hacen las operadoras, a la hora de emitir un duplicado de SIM, y con la siguiente medida.

SIM como contraseña y asociadas a dispositivos

Otra de las medidas tomadas por CloudFlare es la posibilidad de ofrecer tarjetas eSIM que solo funcionan en un dispositivo en particular.

De esta manera, se eliminan o minimizan de base dos posibles ataques:

  • Por un lado, y como decíamos, se elimina la posibilidad de hacer un SIM Swapping, ya que al ciberdelincuente, si quiere usurparte la identidad, no le va a quedar otra que robarte físicamente el dispositivo.
  • Por otro lado, esto abre la veda a que podamos utilizar la SIM como un sistema de verificación de identidad basado en la posesión, al estar asociado a un dispositivo en particular.

En fin, que son tres acercamientos bastante interesantes al problema actual de la seguridad de las conexiones móviles.

Por ahora no sabemos mucho más, pero está claro que esto llegará primero a EEUU, y que además requerirá apoyo de las operadoras para llegar a buen puerto.

Algo que, a priori, y sobre todo por el tema de las DNS (a falta, recalco, de saber a ciencia cierta cómo va a funcionar en este punto), veo complicado.

A fin de cuentas, parte del negocio de las operadoras pasa por retener el control de los datos de tráfico de sus clientes. Y sin las DNS, se pierde buena parte de esa información…

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂