Gestión remota de SIM

La gestión remota de SIM (en inglés : Remote SIM provisioning ) es una especificación realizada por la GSMA que permite a los consumidores gestionar de forma remota la tarjeta SIM ( eSIM ) integrada en un dispositivo portátil como un teléfono inteligente, un reloj inteligente inteligente, una monitor de fitness o una tableta táctil .^[1]​^[2]​ La especificación formó parte originalmente del trabajo de la GSMA sobre eSIM^[3]​ y es importante tener en cuenta que el control remoto de tarjeta SIM es sólo uno de los aspectos que incluye esta especificación eSIM . El resto de aspectos definen que la eSIM se estructura en "dominios" que separan el perfil del operador de los "dominios" de seguridad y aplicación. Otro aspecto importante es que eSIM es propiedad del fabricante, lo que significa que la empresa fabricante tiene el control total de la seguridad y las aplicaciones en eSIM, y qué perfiles de operadores deben utilizarla.^[3]​

En el fondo de la tecnología, se buscaba abordar los siguientes problemas:

• El desarrollo de la tecnología SIM no extraíble: una nueva generación de tarjetas SIM como MFF soldadas en su dispositivo.
• La aparición y soporte por parte de los operadores móviles del concepto ABC (siempre la mejor conexión: la oportunidad de obtener conexiones de calidad de cualquier operador móvil en cualquier momento).
• El crecimiento explosivo del Internet de las cosas (IoT): según Gartner, unos 8.400 millones de conexiones en 2017 (un 31% más que en 2016).^[4]​
• El coste y el esfuerzo necesarios para cambiar una tarjeta SIM en un dispositivo que se ha desplegado en la calle.

La Asociación GSM ( GSMA ), que reúne a unos 800 operadores y 250 empresas de ecosistemas móviles, se convirtió en la primera en presentar la iniciativa Consumer Remote SIM Provisioning. El inicio de la creación de la tecnología se anunció en verano de 2014. La versión completa de la especificación se realizó en febrero de 2016. Inicialmente, se suponía que la especificación debía utilizarse sólo por los dispositivos M2M, pero desde diciembre de 2015 se ha empezado a distribuir en varios dispositivos personalizados y en aplicaciones empresariales como la autenticación y la gestión de identidades.^[5]​

"Esta nueva especificación ofrece a los consumidores la libertad de conectar de forma remota los dispositivos, como los "wearables", a una red móvil de su elección y sigue evolucionando el proceso de conexión de dispositivos nuevos e innovadores", Alex Sinclair, director de tecnología de GSMA. ^[6]​

Además, se ha modificado el derecho de los proveedores de servicios independientes a transmitir órdenes de carga de perfiles en las tarjetas eSIM del dispositivo y ha aparecido la posibilidad de almacenar matrices de perfiles en centros de datos certificados independientes (gestor de suscripciones ).

La especificación que cubre los aspectos de selección del operador pretende permitir a los consumidores elegir a un operador de red móvil de una amplia gama para activar la SIM incrustada en un dispositivo mediante una suscripción. Pretende simplificar la vida de los usuarios conectando sus múltiples dispositivos mediante la propia suscripción. También debería motivar a los fabricantes de dispositivos móviles a desarrollar la próxima generación de dispositivos conectados a móviles que se adapten mejor a las aplicaciones de tecnología portátil . La especificación que cubre la selección del operador para los dispositivos M2M es más sencilla, ya que normalmente no existe ningún suscriptor implicado

El lenguaje que se utiliza para describir estas especificaciones es algo confuso, ya que eSIM no es un formato físico (o "factor de forma", la frase que se utiliza para describir los diferentes tamaños de SIM). eSIM describe la funcionalidad de la SIM, no el tamaño físico de la SIM, y hay eSIM en muchos formatos (2FF, 3FF, 4FF, MFF).

GSMA también ha desarrollado un marco de cumplimiento^[7]​ para dispositivos eSIM, eUICC y productos de gestión de suscripciones, para ayudarle con la interoperabilidad y la seguridad de los productos que admiten eSIM. Esto lo publica la GSMA como SGP.24,^[8]​ el proceso de cumplimiento eSIM describe los requisitos de cumplimiento habituales para:

• Interoperabilidad funcional
• Seguridad de la eUICC
• Seguridad del sitio de producción eUICC
• Seguridad del sitio de gestión de suscripciones

El aprovisionamiento remoto en el dispositivo anfitrión lo inicia el Local Profile Assistant (LPA), un programa que sigue la especificación RSP.

Cuando LPA desea recuperar un perfil de operador, se pone en contacto con un servicio de gestor de suscripciones (SM) en Internet mediante HTTPS . La dirección del SM puede definirse:

• en un código QR escaneado por el usuario
• introduciendo manualmente el nombre de sistema principal /código de activación del SM en la pantalla
• codificado por el fabricante del dispositivo anfitrión en el firmware.
• mediante un servicio de descubrimiento universal gestionado por la GSMA.

La LPA es responsable de validar que el certificado X.509 del SM es válido y emitido por la autoridad de certificación GSMA.^[9]​ Una vez completada la validación, el LPA coordinará un canal seguro entre eUICC y SM mediante la autenticación de respuesta de desafío para entrar en el modo de programación. La LPA solicitará perfiles de operador disponibles para su descarga, ya sea enviando el código de activación proporcionado por el usuario o eSIM ID (EID) de eUICC. SM proporcionará el perfil solicitado cifrado de modo que sólo la eUICC pueda descifrar/instalar para garantizar que la clave de autenticación de red siga siendo segura.