Assim, com o lançamento de smartphones e smartwatches com e-SIM, a tecnologia se tornou uma tendência mundial a partir de 2016. Hoje, é possível obter serviços de e-SIM em 45 países; em muitos outros, as operadoras têm dúvidas, pois o mecanismo regulatório e as plataformas tecnológicas ainda não estão prontos.
Qual é a dúvida?
O que é um cartão SIM? Basicamente, é um microcomputador cujo objetivo principal é armazenar chaves e algoritmos de criptografia usados para identificar e autenticar assinantes na rede da operadora de telefonia móvel. Os algoritmos são simétricos e envolvem o armazenamento da chave secreta do usuário em uma área protegida da memória do chip SIM, que só pode ser acessada por um aplicativo executado no próprio chip. Algoritmos de criptografia completos (que são, na verdade, aplicativos executados no chip SIM) e chaves de criptografia são registrados durante a produção para garantir sua segurança.
Evolução do cartão SIM
Existem outros aplicativos no SIM, como o menu do SIM, que exibe previsões do tempo, saldo, etc., e pode gerenciar alguns serviços. Além disso, a operadora pode definir uma opção padronizada para baixar e executar novos aplicativos no SIM, sem que o assinante tenha conhecimento disso. Sem nos aprofundarmos nas especificações e padrões, podemos notar isso no serviço de cópia de contatos de um cartão SIM para o armazenamento da operadora: o serviço é ativado por meio da conta do assinante no site da operadora e, após algum tempo, uma cópia de backup dos contatos já é criada na nuvem. Mágica? Assim, a operadora tem acesso ao dispositivo do assinante via cartão SIM e pode receber dados deste dispositivo e realizar algumas operações com ele… Para fornecer serviços de qualidade, é claro. Saiba mais sobre como funciona.
O que é e-SIM (e-UICC)?
Ao contrário da crença popular, a principal diferença em relação ao SIM não é o formato do chip soldado (você também pode comprar o SIM clássico em formato integrado das operadoras), mas sim o software pré-instalado que permite baixar perfis de assinante com chaves de criptografia. Esse processo é padronizado pela GSMA, uma associação de operadoras e fabricantes de GSM, e é descrito em diversas especificações:
- SGP.21 «Arquitetura RSP»
- SGP.02 «Arquitetura de Provisionamento Remoto para Especificação Técnica UICC Embarcada»
- SGP.22 «Especificação Técnica RSP»
Outra diferença é que você precisa de um terceiro para baixar o perfil da operadora para o e-SIM: SM-DP – uma organização certificada pela GSMA que gerenciará os perfis. Pode ser um fabricante de dispositivos com E-UICC integrado ou uma empresa independente. Descrição detalhada do e-SIM da GSMA.
Várias conclusões:
- As operadoras estão perdendo o controle sobre os aplicativos integrados do SIM. Consequentemente, estão perdendo a fonte de dados detalhados sobre os assinantes. Para compensar isso, é possível baixar e ativar o perfil no e-SIM usando um aplicativo separado no próprio dispositivo, que também transmitirá esses dados.
- Qualquer aplicativo criptográfico pode ter recursos não documentados, bem como vulnerabilidades. Se tais falhas permitirem que um invasor roube ou modifique os perfis das operadoras, as tecnologias de autenticação de dois fatores, o mobile banking e outros serviços críticos se tornarão vulneráveis. E nas especificações fornecidas, falhas foram encontradas e parcialmente corrigidas, mas quem garante o futuro?
- A operadora se torna dependente de terceiros no que diz respeito às relações com os assinantes. Um terceiro pode conspirar com um concorrente ou sabotar o download de determinados perfis no e-SIM para fins egoístas.
- Os algoritmos de criptografia são controlados pelo fabricante do chip, que agora não funciona por ordem da operadora, mas sim de acordo com as especificações da GSMA. Tais padrões podem não atender aos requisitos governamentais de um determinado país.
- Certamente, profissionais de marketing e gerentes de produto criarão novos serviços baseados na venda rápida de cartões SIM virtuais. Por exemplo, um número de pacote único + mensagens instantâneas para quem precisa vender algo e não quer fornecer seu número de telefone principal. Em outras palavras, “guerras de marketing” podem dar origem a ofertas antes impossíveis e completamente novas.
A comparação entre o SIM clássico e o e-UICC permite entender que este último está mais focado em melhorar o serviço e desenvolver novas linhas de produtos no setor. Há muitas comodidades para os assinantes: por exemplo, você pode se conectar remotamente a uma operadora estrangeira antes de sair do país. Ao chegar ao exterior, resta apenas ativar um novo perfil com alguns cliques, em vez de procurar no ponto de venda de uma operadora. Para quem considera que dois chips não são suficientes, é possível usar de 3 a 4 perfis e alternar entre eles conforme necessário.
A presença de terceiros já é observada no processo de MNP (transferência de números entre operadoras). Atualmente, não há problemas críticos nesse sentido. Todas as operadoras foram obrigadas a se conectar ao sistema – o sistema funciona, os números são transferidos. Em geral, não há problemas para ninguém.
Em conclusão, a tecnologia e-SIM evoca sentimentos mistos. Por um lado, positivo: este é um novo passo no setor. Por outro, existe outro canal potencial para o vazamento de dados pessoais e extremamente sensíveis dos dispositivos dos usuários.
