Cuando se introdujeron los SIM, el propósito era contener la identificación del usuario por el bien de la red móvil. Los objetos físicos pequeños y relativamente baratos eran una forma conveniente de desplegar identidades de suscriptores por separado del teléfono voluminoso y costoso que puede haber sido suministrado o no por el operador de la red. (De ahí el nombre módulo de identidad del suscriptor ). El activo principal en la tarjeta SIM es la identidad del usuario (en su rol de suscriptor del servicio de telefonía móvil); Un activo secundario es la clave criptográfica que lo protege. Consulte Ingeniería de seguridad por Ross Anderson , §20.3.2 ( §17.3.3 en la primera edición).
Observará que esto es un activo del operador de red. El usuario tiene poco incentivo para proteger su identidad. En la práctica, la pérdida de este activo significa que el teléfono ha sido robado. La pérdida del teléfono suele ser un costo mayor que la posible pérdida de crédito de comunicación para el ladrón.
Con el tiempo, los teléfonos comenzaron a tener más y más funciones. En particular, en los teléfonos móviles básicos, la tarjeta SIM suele contener datos privados, como una libreta de direcciones. Este dato privado es un activo del usuario. Con el avance hacia los teléfonos con funciones y los teléfonos inteligentes, los datos privados escaparon de la SIM, que volvió a contener poco más que la identidad del suscriptor.
Cuando inicia un teléfono básico, normalmente se le solicita que ingrese un código de 4 dígitos. Eso es autenticación para la tarjeta SIM: los teléfonos básicos tienden a no tener ninguna autenticación. Cuando inicia un teléfono inteligente, le solicita su propia autenticación y la mayoría de los usuarios no se molestan con un PIN de SIM en la parte superior. No tengo cifras, pero creo que la mayoría de las personas tienen un PIN (u otro factor de autenticación, como gestos) para su dispositivo móvil, ya sea para la tarjeta SIM o para el teléfono. Milagrosamente (bueno, es en parte por diseño), la autenticación o falta de ella se correlaciona con el valor de los activos para el usuario.
El acceso a la tarjeta SIM le permite al ladrón hacerse pasar por el usuario, pero solo por un tiempo limitado, hasta que sea reportado como robado. Si el ladrón tiene una SIM desbloqueada, puede acceder al correo de voz y al historial de SMS del usuario. Esta es una razón para proteger su tarjeta SIM incluso en un teléfono inteligente, pero uno débil para la mayoría de las personas: el robo de teléfonos móviles se basa principalmente en el valor del teléfono, también en el uso de datos de teléfonos inteligentes, pero rara vez está dirigido a la información privada de la víctima. . Si es probable que te apunten a tus datos privados (por ejemplo, si negocias regularmente ofertas multimillonarias en tu teléfono), protegerás mejor tu SIM.
Una tarjeta SIM sin protección le permite al ladrón hacer llamadas telefónicas sin pagar, y lo más importante, de forma anónima. Hay dos formas principales de hacer llamadas telefónicas anónimas: con una tarjeta SIM robada, si el ladrón no es atrapado; y con una tarjeta SIM prepaga, si se compra de forma anónima (por lo general, en efectivo o con una tarjeta de crédito robada). Una SIM robada es un inconveniente para ese propósito, ya que tiene una vida útil limitada (solo hasta que la SIM esté en la lista negra, lo que el operador puede hacer). Si la tarjeta SIM robada puede pasar desapercibida el tiempo suficiente para estar cercada, es mucho más valiosa, ya que hace que el vínculo entre la tarjeta SIM y el ladrón sea difícil de rastrear.
Si el ladrón usa la tarjeta SIM, se conoce su ubicación aproximada. Esto rara vez es una preocupación. La ubicación del robo es ampliamente conocida de todos modos. La identidad del ladrón no se conoce a priori; lo que es valioso es "¿dónde estaba X criminal en el momento T?", no "¿dónde estaba el ladrón de esta SIM en el momento T?". La ubicación del ladrón solo es útil si puede correlacionar la SIM robada con el criminal en primer lugar. En la práctica, es más probable que el teléfono sea rastreado que el SIM (ambos son igualmente rastreables por el operador o la policía).
Nota: esta respuesta asume que el ladrón no puede adivinar ni omitir el PIN de la SIM. Este es un supuesto realista en la mayoría de las situaciones, ya que la SIM se bloqueará después de 3 intentos no válidos, y el costo de romper la SIM suele ser más alto que el de los activos.