SMS
phishing

Claves para detener y prevenir el fraude vía SMS

A pesar de que el teléfono móvil se ha convertido en una herramienta indiscutible en nuestro día a día, también es una puerta de entrada a nuevas amenazas que pueden comprometer nuestros datos personales y nuestro dinero.

SMS fraude falso

Los teléfonos móviles forman parte de nuestra vida diaria, así como la comunicación con nuestros conocidos, marcas y familiares. En este contexto, el SMS es uno de los canales más utilizados para dar vida a estas interacciones, especialmente en la relación entre marcas y consumidores. Lamentablemente, los delincuentes y las empresas deshonestas lo saben y siempre encuentran nuevas formas de usar los SMS para realizar fraudes o para obtener información personal.

Cada año, el impacto y las pérdidas que generan las estafas financieras es enorme. Es más, según el Informe sobre el estado del fraude en España 2021-2022, realizado por la Asociación Española de Empresas Contra el Fraude (AEECF), el 53% de las entidades financieras confirman un aumento del fraude respecto al año anterior. Esto supone un crecimiento de la percepción de fraude del 15% respecto a 2020.

El principal modelo de fraude vía SMS es el llamado phishing, aquel que ocurre cuando se envía un enlace malicioso a un individuo y al hacer clic en él, se instala malware en el dispositivo de la persona. Aunque bajo el pishing la mayoría de los ataques van dirigidos a personas particulares, las empresas y organizaciones no son ajenas a este tipo de problemas.

Pero, las pérdidas no son solo económicas. La desconfianza generalizada que se crea en los consumidores en relación a los canales de comunicación comerciales y especialmente en relación a los SMS también es importante.

Por último, el coste de las medidas de seguridad a las que debe acudirse también se trasladará a los consumidores a largo plazo. Cabe resaltar que medidas como estas podrían además terminar por perjudicar la experiencia del usuario, por ejemplo, a través de pasos de autenticación adicionales en los que deba incurrir en medio de su recorrido.

Tipos de fraude vía SMS
Los delincuentes tienen muchas formas de utilizar los SMS para realizar fraudes:

Smishing
A través de este tipo de fraude, los delincuentes contactan a las víctimas potenciales a través de SMS para convencerlas de que transmitan información personal o información de cuentas bancarias haciendo clic en enlaces que posteriormente instalan malware en sus teléfonos.

Smishing es, por lo tanto, el equivalente del phishing vía correo electrónico tradicional.

Los ataques de smishing son cada vez más sofisticados, utilizan tácticas de ingeniería social para recopilar información sobre posibles víctimas, incluido dónde viven, con quién interactúan en línea y de qué bancos y compañías de tarjetas de crédito son clientes. Esta información se puede usar para crear mensajes SMS falsificados que resultan muy realistas y que en realidad tienen la capacidad de engañar a la víctima para que crea que provienen de una empresa o persona legítima.

Por eso, es particularmente importante que los usuarios presten siempre atención al remitente de cada mensaje. Los SMS verificados, por ejemplo, son una buena manera de asegurarse de que el remitente es genuino. Y, por supuesto, en caso de duda, como usuarios es esencial buscar constatar a un remitente y la información compartida por este, partiendo de fuentes oficiales (páginas web, apps, números de teléfono) antes de hacer clic en el enlace.

SMS spoofing
El SMS spoofing consiste en cambiar la información del remitente de un mensaje para que el destinatario vea cualquier texto alfanumérico definido en lugar de un número de teléfono móvil.

Esta práctica de cambiar la información del remitente de SMS no es ilegal en sí misma. De hecho, existen muchas aplicaciones válidas para ello e incluso hay servicios gratuitos de SMS spoofing en Internet.

Algunos casos de uso que permiten legítimamente esta función son los siguientes:

  • Mensajes de servicio masivo:  mensajes enviados a clientes que han autorizado (opt-in) este contacto y que abordan transacciones comerciales legítimas. Por ejemplo: “Tu factura está disponible para ser descargada”.
  • Alertas SMS: se trata de notificaciones importantes enviadas por empresas o agencias gubernamentales. Por ejemplo: “Alerta de tsunami: dirígete a un terreno elevado”.
     
  • Denuncias: son mensajes que exponen el mal comportamiento de una persona o empresa y en donde el remitente quiere permanecer en el anonimato.

¿Cómo funciona?
El SMS spoofing puede utilizarse con fines legítimos. El problema es que los delincuentes también lo utilizan a menudo para imitar mensajes de empresas como parte de sus ataques de smishing.

Los ciberdelincuentes pueden simular ser de un banco, una empresa de entrega, una institución de confianza o incluso el propio empleador del destinatario en caso de tratarse de ataques dirigidos.

Sin darse cuenta de que el mensaje es falso, los destinatarios pueden bajar la guardia y hacer clic en los enlaces, lo que podría instalar malware en sus teléfonos o llevarlos a páginas web falsas diseñadas para extraer información privada de ellos.

Otra táctica ingeniosa de los delincuentes es utilizar el SMS spoofing para falsificar las confirmaciones de pago por la compra de artículos caros.

SIM Swap o intercambio de la SIM
Al igual que el SMS spoofing, el intercambio de SIM surge de una necesidad legítima. Al fin y al cabo, podría tan solo tratarse de un cambio de dispositivo móvil en el que el usuario traslada su SIM de su móvil viejo al nuevo. 

Este procedimiento puede ser muy útil cuando el usuario desea conservar su número de teléfono en caso de cambiar de operador, mantener su número de teléfono cuando perdió o le robaron su dispositivo o mantener su número de teléfono al tener que cambiar a un chip más pequeño o más grande.

Sin embargo, este procedimiento se ha vuelto tan común que los delincuentes han comenzado a explotarlo para tomar el control de los números de teléfono de las personas. Lo hacen simplemente contactando al operador y proporcionando datos personales a través de tácticas de ingeniería social y realizando un SIM swap. Una vez que la cuenta haya sido tomada, el delincuente tendrá acceso a todos los datos personales de la persona y su bandeja de entrada de mensajes para recibir las notificaciones 2FA necesarias para cambiar las contraseñas de los bancos y tarjetas de crédito.

Los servicios de detección de intercambio de la SIM utilizan una serie de algoritmos para poder notificar tanto los intentos como los procedimientos de intercambio exitosos. Los operadores móviles que implementan estas soluciones pueden proteger a sus usuarios de este fraude también conocido como SIM Swap y de todo el estrés y peligros que implica el robo de la identidad.

SMS grey routes o rutas grises de SMS
El enrutamiento gris o SMS grey routes no afecta a los usuarios de forma tan directa como otro tipo de ataques cibercriminales. Sin embargo, sí altera el equilibrio del ecosistema, elevando los precios de servicio a nivel mundial y creando una experiencia inconexa debido a las medidas preventivas a las que los proveedores de telecomunicaciones deben recurrir.

¿Qué es el tráfico en las rutas grises?
El grey routing SMS representa un tipo de fraude cometido por operadores móviles deshonestos en el que los mensajes SMS A2P, que deberían cobrarse a una tarifa superior, se pasan como tráfico P2P durante todo o parte del recorrido para así beneficiarse de tarifas reducidas.

Esto significa que los proveedores de telecomunicaciones, los cuales facilitan la entrega de mensajes a través de su infraestructura de red, no son compensados correctamente ??por los servicios que prestan.

En resumen, existen tres tipos de grey routing:

  • Operador a Operador: en este escenario, el Operador 1 tiene un acuerdo de roaming con el Operador 2 para enviar mensajes de persona a persona (P2P). La proporción de mensajes entrantes y salientes suele ser la misma por lo que los operadores se comprometen a no cobrarse el tráfico entre ellos. Sin embargo, el Operador 2 (deshonesto) enmascara deliberadamente el tráfico A2P comercial como P2P, por lo que recibe una compensación por los mensajes sin tener que pagar nada al Operador 1.
  • Agregadores A2P: en este escenario, las empresas de telecomunicaciones utilizan agregadores A2P locales en un país extranjero para evitar pagar tarifas de roaming premium. Por ejemplo, Telecom A utiliza un agregador que tiene mejores tarifas de SMS que Telecom B para entregar tráfico A2P a través de rutas SMPP. Telecom A es el deshonesto en este caso, ya que evita pagar la tarifa de mercado acordada a Telecom B, quien en realidad entrega el mensaje al destinatario.
  • Cajas SIM: también conocidas como “máquinas de tráfico de ruta gris”. Estos dispositivos utilizan tarjetas SIM P2P prepagas para manejar de manera fraudulenta el tráfico A2P premium. Estas tarjetas tienen un precio por SMS inferior a los precios directos de telecomunicaciones A2P o incluyen un número fijo de mensajes gratuitos como parte del paquete. La diferencia entre los dos precios, que puede ser significativa, es pura ganancia para los estafadores.

Spam SMS
Existen varias razones válidas (e incluso útiles) para recibir mensajes SMS que no son solicitados directamente por el usuario. Por ejemplo, para notificarle sobre sospechas de fraude o como una forma de alertarlo sobre un evento climático extremo o una campaña de vacunación obligatoria.

El spam de SMS, sin embargo, no hace nada de eso. Viola las leyes de cumplimiento en casi todos los países del mundo y, lamentablemente, eso no impide que las empresas compren listas de números y los bombardeen con ofertas y promociones irrelevantes.

Vale la pena recordar que enviar una comunicación a un usuario que no ha autorizado expresamente este tipo de mensajes es una violación a la Ley General de Protección de Datos Personales (LGPD).

¿Cómo detener el SMS Spam?
Desde el punto de vista del usuario, es muy poco lo que se puede hacer para detener por completo el spam de SMS. Las solicitudes de bloqueo y “opt-out” para darse de baja de mensajes, cuando están disponibles, son ineficaces o, en el mejor de los casos, temporales. Después de todo, los spammers tienen una gran cantidad de números para usar y es probable que el número que reportes ya se haya descartado.

Para los usuarios finales, la acción más efectiva se realiza directamente desde el dispositivo, bloqueando las notificaciones de números desconocidos o filtrándolas a través de una bandeja de entrada especial. Sin embargo, al hacerlo, se corre el riesgo de perderse de comunicaciones realmente relevantes.

Por lo tanto, la responsabilidad de reducir el spam de SMS y otros intentos de fraude recae en última instancia sobre los proveedores de telecomunicaciones, incluso antes de que lleguen a sus usuarios. Surge entonces la siguiente pregunta: ¿cómo pueden hacer esto sin bloquear el tráfico genuino?

Las empresas de telecomunicaciones tienen un aliado en la guerra contra los spammers y los estafadores de SMS. Con la ayuda de empresas de tecnología como Infobip, pueden avanzar en sus estrategias de seguridad implementando una serie de soluciones diseñadas para detectar y prevenir el fraude vía SMS.

Una parte clave de esta defensa son los SMS firewalls, los cuales proporcionan conexión a una base de datos continuamente actualizada de números maliciosos y URLs que pueden bloquearse automáticamente en tiempo real, detección proactiva de amenazas mediante el uso de machine learning para evitar intentos de fraude, respuestas automatizadas a amenazas identificadas y detección de MSISDN que no son “clientes reales” basada en la detección de cajas SIM que pueden proporcionar análisis de reputación de MSISDN.

 



Descargables

30 años de sms

Gamificación Soluciones

Cómo convertir las ventas de Black Friday en clientes fieles Retail

Phygital Infobip Retail