Tras lo que podría ser el peor caso de piratería informática en la historia de las telecomunicaciones de Corea del Sur, las instituciones financieras del país se apresuran a reforzar sus sistemas de verificación de identidad. La reciente brecha en SK Telecom (SKT) ha puesto de manifiesto vulnerabilidades críticas en la infraestructura digital del país y ha destacado la urgente necesidad de soluciones de verificación más sólidas e independientes de la red en el sector financiero.
Alcance y magnitud de la violación de SK Telecom
El 18 de abril de 2025, SK Telecom, el mayor operador de telefonía móvil de Corea del Sur, con unos 25 millones de abonados (nota: Corea tiene una población de unos 51 millones), detectó un ciberataque en sus sistemas internos. La brecha fue lo suficientemente grave como para que el director general, Ryu Young-sang, lo reconociera como “el peor caso de piratería informática en la historia de las telecomunicaciones del país” durante una sesión parlamentaria.
El ataque expuso datos sensibles del USIM (Módulo Universal de Identidad del Abonado), incluidos los números de teléfono de los abonados y los números IMSI (Identidad Internacional del Abonado Móvil), así como 21 tipos de datos de gestión interna de SKT relacionados con el procesamiento de la información del USIM (Fuente: comunicado de prensa del gobierno). En total, la información filtrada asciende a unos 9,7 gigabytes, lo que equivale a unos 9.000 libros o 2,7 millones de páginas de documentos, según los informes presentados a la Asamblea Nacional.
SK Telecom detectó por primera vez tráfico anormal que indicaba una exfiltración de datos en su centro de monitorización de seguridad a las 23:20 del 18 de abril. A la 1:40 de la madrugada del día siguiente, la empresa había aislado los equipos comprometidos infectados con malware y había empezado a analizar la ruta de intrusión y el alcance de la filtración de datos. Sin embargo, la empresa se ha enfrentado a críticas por tardar dos días en informar del incidente a las autoridades, superando con creces el requisito de notificación en 24 horas que exige la ley, y ahora se enfrenta a un escrutinio adicional por parte del público por tardar más de 2 semanas en notificar a los clientes afectados.
Posibles vínculos con piratas informáticos patrocinados por el Estado
La brecha puede tener conexiones con amenazas de ciberseguridad internacionales más amplias. El 24 de abril, la empresa taiwanesa de ciberseguridad TeamT5 publicó un informe en el que advertía de que las vulnerabilidades críticas de los dispositivos VPN Ivanti estaban creando riesgos de seguridad globales, con grupos de hackers vinculados a China que explotaban los fallos del sistema de red privada virtual “Ivanti Connect Secure” para infiltrarse en instituciones de todo el mundo.
El momento coincidió con el incidente de SKT, y fuentes del sector indican que el equipo VPN de Ivanti es utilizado por muchas empresas surcoreanas, incluida SK Telecom, lo que sugiere una posible conexión. Durante la investigación, las autoridades identificaron cuatro variantes del malware BPFDoor, una puerta trasera oculta que explota el filtro de paquetes Berkeley, dificultando especialmente la detección de las comunicaciones de los hackers.
Respuesta del mercado y de los consumidores
El incidente ha supuesto un duro golpe financiero para SK Telecom, que ha perdido aproximadamente 923.600 millones de wones (643,2 millones de dólares) de capitalización bursátil. Mientras tanto, ha comenzado un éxodo de abonados, con más de 34.000 clientes que se han pasado a las compañías rivales KT y LG U+ en un solo día. Ha cobrado impulso un movimiento de demanda colectiva, con más de 49.000 personas uniéndose a una comunidad que apoya la acción legal contra la empresa en sólo tres días.
Reacción del gobierno y de las empresas
La agencia nacional de inteligencia ordenó a los organismos gubernamentales y a las instituciones públicas que volvieran a emitir las tarjetas SIM de los dispositivos inalámbricos de uso profesional. La Agencia Nacional de Policía formó un grupo especial de 22 miembros para investigar la brecha, mientras que la Comisión de Servicios Financieros (FSC) y el Servicio de Supervisión Financiera (FSS) establecieron medidas de respuesta de emergencia para reforzar la protección del consumidor y la estabilidad del sistema financiero.
Las grandes empresas han actuado con rapidez, y empresas como Hyundai Motor se han puesto manos a la obra para conseguir tarjetas SIM de sustitución para los ejecutivos de alto nivel y han proporcionado servicios internos de sustitución. Samsung Electronics ordenó a los ejecutivos que cambiaran “inmediatamente” las tarjetas SIM de SKT, mientras que se dieron directivas similares a los empleados de otras empresas de interés nacional como HD Hyundai, Hanwha, Naver y Kakao.
Medidas de protección inmediatas
Las instituciones financieras han puesto en marcha protocolos de emergencia para evitar posibles fraudes:
- Requisitos de autenticación mejorados: Los principales bancos, como KB Kookmin, Shinhan, Hana y Woori, exigen ahora el reconocimiento facial a los usuarios de SKT que deseen emitir nuevos certificados digitales o realizar transacciones financieras móviles en nuevos dispositivos.
- Restricciones a las transacciones: Algunas instituciones financieras están denegando las solicitudes de transacciones, incluida la emisión de contraseñas de un solo uso para móviles de los usuarios de SK Telecom.
- Detección del fraude: Los bancos han reforzado sus sistemas de detección del fraude para identificar las transacciones financieras no autorizadas, y las cuentas se congelan inmediatamente si se sospecha de intentos de fraude.
- Métodos de verificación alternativos: Los proveedores de servicios financieros están aconsejando a los usuarios de SK Telecom que se suscriban a los servicios de protección de USIM, sustituyan sus chips USIM y utilicen métodos de autenticación distintos de los mensajes de texto.
La vulnerabilidad de la autenticación basada en las telecomunicaciones
La brecha de SKT ha puesto de manifiesto una debilidad crítica en el ecosistema de verificación de identidad de Corea. Muchas instituciones financieras han confiado mucho en la verificación del usuario mediada por las telecomunicaciones como parte de sus procesos de autenticación. Aunque las empresas financieras suelen exigir al menos dos pasos adicionales, además de la verificación del operador de telecomunicaciones, para autorizar las transacciones financieras móviles, la filtración ha puesto de manifiesto el riesgo de depender de la infraestructura de telecomunicaciones para la verificación de la identidad.
Esta vulnerabilidad es especialmente preocupante dado que las empresas de tarjetas de crédito de Corea del Sur han ido abandonando el mercado de servicios de verificación de identidad en medio del dominio de la autenticación dirigida por las telecomunicaciones. El incidente subraya los peligros de concentrar las capacidades de verificación en un único sector o enfoque tecnológico.
Evolución de la verificación de identidad en Corea del Sur
Contexto histórico
Corea del Sur tiene una larga historia de sistemas de verificación de identidad digital:
Desde principios de la década de 2000, la mayoría de los bancos de Corea ofrecen servicios de banca por Internet basados en certificados PKI (Infraestructura de Clave Pública)8. Este enfoque fue inicialmente impuesto por el gobierno, que reguló la aplicación de certificados PKI como obligatoria para la banca por Internet hasta 20158.
En 2007, Corea puso en marcha un “Sistema de Verificación de Identidad” para hacer frente a las violaciones de la privacidad y la difamación en línea12. El sistema se legalizó en la Ley de Promoción del Uso de las Redes de Información y Comunicaciones y de Protección de la Información, tras cinco años de discusiones públicas y debates políticos12.
Evolución reciente de la identidad digital
Antes de la filtración de SKT, Corea del Sur había avanzado mucho en la modernización de sus sistemas de verificación de identidad:
En marzo de 2025, Corea del Sur completó el despliegue nacional del DNI digital, que permite a todos los ciudadanos y residentes extranjeros añadir a sus teléfonos inteligentes una versión digital de su tarjeta de registro de residente surcoreano. Este DNI digital incluye funciones de seguridad como blockchain y encriptación, con verificación biométrica obligatoria para evitar la usurpación de identidad.
Además, el gobierno puso en marcha recientemente un servicio de verificación de tarjetas de residencia para residentes extranjeros, que les permite realizar transacciones financieras a través del teléfono móvil sin tener que acudir personalmente a los bancos. Este servicio extrae los rasgos faciales de la foto de la tarjeta de registro de un extranjero y los compara con las fotografías de una base de datos del Ministerio de Justicia para verificar la autenticidad en tiempo real.
La necesidad de un nuevo enfoque
La brecha de SK Telecom ha demostrado que, a pesar de estos avances, sigue habiendo vulnerabilidades significativas en la infraestructura de verificación de identidad de Corea. El incidente ha acelerado la necesidad de soluciones de verificación que:
- No dependas de la conectividad a la red
- No puede verse comprometida por violaciones de datos a gran escala
- Incorporar elementos biométricos fuertes
- Funcionar independientemente de los operadores de telecomunicaciones
El futuro de la verificación segura de la identidad
Mientras las instituciones financieras surcoreanas buscan métodos de verificación de identidad más seguros, necesitan soluciones que aborden las vulnerabilidades fundamentales expuestas por la brecha de SKT. La solución ideal sería independiente de la red, muy segura y que aprovechara la tecnología biométrica avanzada para garantizar que la verificación de la identidad siga siendo eficaz aunque se vea comprometida la infraestructura de telecomunicaciones tradicional.
Las ventajas de la autenticación biométrica sin red y centrada en la privacidad
A la luz de la reciente filtración de datos, cada vez se reconocen más las ventajas que ofrecen los sistemas de autenticación biométrica sin red que dan prioridad a la privacidad. Estos sistemas almacenan los datos biométricos localmente en lugar de en bases de datos centralizadas, eliminando el riesgo de filtraciones de datos a gran escala. Funcionan independientemente de la conectividad de la red, lo que los hace resistentes a los ataques y cortes basados en la red.
La autenticación biométrica también proporciona un mayor nivel de seguridad que los métodos tradicionales, ya que los identificadores biométricos son únicos para cada individuo y difíciles de falsificar o robar. Cuando se implantan con un enfoque que da prioridad a la privacidad, al consentimiento del usuario y a la protección de datos, estos sistemas pueden ofrecer tanto una mayor seguridad como el cumplimiento de la normativa de protección de la información personal.
Cómo aborda SNAPPASS las vulnerabilidades actuales
ANDOPENLa tecnología de SNAPPASS representa un avance significativo para hacer frente a las vulnerabilidades puestas de manifiesto por la brecha de SKT. Como “solución de identificación y autenticación física basada en el reconocimiento facial”, SNAPPASS ayuda a prevenir la delincuencia y el fraude proporcionando un método altamente seguro y preciso de verificación de la identidad.
A diferencia de los sistemas de verificación tradicionales que dependen de redes y bases de datos centrales, SNAPPASS ofrece identidades biométricas fuera de línea, escalables y almacenadas en frío. Este enfoque sin redes significa que, aunque los sistemas de telecomunicaciones se vean comprometidos, la verificación de identidad puede continuar sin interrupciones.
SNAPPASS puede admitir “un número infinito de usuarios biométricos con un 0% de errores de reconocimiento” y puede proteger instalaciones “incluso en entornos remotos o protegidos por el aire”. Esto lo hace especialmente adecuado para instituciones financieras que requieren altos niveles de seguridad y fiabilidad.
Para aplicaciones financieras en concreto, SNAPPASS puede eliminar los delitos financieros con “SNAPPIN tarjetas de pago a bordo”, protegiendo a los usuarios del robo de tarjetas, el fraude y las transacciones no autorizadas con terminales de pago biométricamente seguros. Esta capacidad responde directamente a las preocupaciones suscitadas por la brecha de SKT sobre posibles fraudes financieros derivados de datos USIM comprometidos.
Descubre cómo SNAPPASS puede reforzar la protección de los datos de los clientes de tu organización:
