Guía integral para la detección y prevención del fraude vía SMS
Los teléfonos celulares forman parte fundamental de nuestra vida diaria, así como la comunicación con nuestros conocidos, marcas y familiares. En este contexto, el SMS es uno de los canales más utilizados para dar vida a estas interacciones, especialmente en la relación entre marcas y consumidores. Sin embargo, lamentablemente, los delincuentes y las empresas deshonestas lo saben y siempre encuentran nuevas formas de usar los SMS para realizar fraudes o para obtener nuestra información personal.
En este contenido, explicaremos cómo los ciberdelincuentes utilizan los SMS para atacarnos, cuáles son algunas de las estafas más comunes, cómo reconocer estas amenazas y qué pueden hacer los operadores móviles para proteger a tus clientes.
¿Cuál es el impacto de las estafas vía SMS?
Cada año, el impacto y las pérdidas que generan las estafas financieras es enorme. ¿Sabías que Latinoamérica es una de las regiones más afectadas por el fraude vía SMS? Tan solo por darte un ejemplo de muchos, una estimación realizada por el Banco Central de Brasil apunta a que en el país sureño se registraron pérdidas de hasta R$ 2,5 mil millones a lo largo de 2022 como consecuencia de este tipo de delitos.
El principal modelo de fraude vía SMS es el llamado phishing, que es aquel que ocurre cuando se envía un enlace malicioso a un individuo y al hacer clic en él, se instala malware en el dispositivo de la persona. Y aunque bajo el pishing la mayoría de los ataques van dirigidos a personas particulares, las empresas y organizaciones no son ajenas a este tipo de problemas.
La situación no impacta únicamente a LATAM. De hecho, los consumidores estadounidenses perdieron más de $5800 millones en fraudes en 2021 y en el Reino Unido los ataques de SMS smishing aumentaron en un 700% en los primeros seis meses de ese mismo año. Este aumento puede atribuirse, en parte, a las restricciones impuestas por la pandemia y al consiguiente aumento de entregas a domicilio y de notificaciones de SMS asociadas a las compras y registros online.
Pero además de las innegables pérdidas monetarias, existen otros impactos que algunas veces resultan un tanto menos evidentes como, por ejemplo, la desconfianza generalizada de los consumidores en relación a los canales de comunicación comerciales y especialmente en relación a los SMS. Sin duda, dicho temor puede erosionar los ingresos de los operadores móviles, lo que conduce a su vez aumentos de precios en los demás servicios que estos brindan.
El costo de las medidas de seguridad adicionales a las que debe acudirse también se trasladará a los consumidores a largo plazo. Cabe resaltar que medidas como estas podrían además terminar por perjudicar la experiencia del usuario, por ejemplo, a través de pasos de autenticación adicionales en los que deba incurrir en medio de su recorrido.
Tipos de fraude vía SMS
Los delincuentes tienen muchas formas de utilizar los SMS para realizar fraudes. Por eso, en este contenido nos centraremos en brindar ejemplos en los que los SMS son el principal canal que permite facilitar estos delitos, que incluyen smishing, suplantación de identidad vía SMS, y el llamado SIM Swap o intercambio de la SIM. Y si bien poseen un impacto menor en los usuarios de teléfonos celulares, las llamadas SMS grey routes también son un tipo de fraude importante a considerar puesto que, de no ser detectados -a la larga- podría terminar implicándole a los usuarios mayores tarifas de servicio ya que los operadores intentarán recuperar los ingresos perdidos de dichas rutas no monetizadas.
Por último, está el spam de SMS, el cual no tiene un impacto financiero para las empresas per se, pero -seamos realistas- ¡es una gran molestia para los usuarios! Y en medio de tanta “basura” y mensajes sin importancia, es posible que aquellas alertas importantes se pierdan en el mar de spam.
Smishing
El smishing es un tipo de fraude en el que los delincuentes contactan a las víctimas potenciales a través de SMS para convencerlas de que transmitan información personal o información de cuentas bancarias haciendo clic en enlaces que posteriormente instalan malware en sus teléfonos.
Smishing es, por lo tanto, el equivalente de SMS del phishing vía correo electrónico tradicional. El mecanismo aquí es el mismo –se envía un enlace malicioso– pero el “hook” es otra plataforma.
Los ataques de smishing, los cuales son cada vez más sofisticados, utilizan tácticas de ingeniería social para recopilar información sobre posibles víctimas, incluido dónde viven, con quién interactúan en línea y de qué bancos y compañías de tarjetas de crédito son clientes. Esta información se puede usar para crear mensajes SMS falsificados que resultan muy realistas y que en realidad tienen la capacidad de engañar a la víctima para que crea que provienen de una empresa o persona legítima.
Por eso, es particularmente importante que los usuarios presten siempre atención al remitente de cada mensaje. Los SMS verificados, por ejemplo, son una buena manera de asegurarse de que el remitente es genuino. Y, por supuesto, en caso de duda, como usuarios es esencial buscar constatar a un remitente y la información compartida por este, partiendo de fuentes oficiales -páginas web, apps, números de teléfono- antes de hacer clic en el enlace.
SMS spoofing
El SMS spoofing consta en cambiar la información del remitente de un mensaje para que el destinatario vea cualquier texto alfanumérico definido en lugar de un número de teléfono móvil.
Esta práctica de cambiar la información del remitente de SMS no es ilegal en sí misma. De hecho, existen muchas aplicaciones válidas para ello e incluso hay servicios gratuitos de SMS spoofing en Internet.
Algunos casos de uso que permiten legítimamente esta función son los siguientes:
- Mensajes de servicio masivo: estos son mensajes enviados a clientes que han autorizado (opt-in) este contacto y que abordan transacciones comerciales legítimas. Por ejemplo: “Tu factura está disponible para ser descargada”.
- Alertas SMS: se trata de notificaciones importantes enviadas por empresas o agencias gubernamentales. Por ejemplo: “Alerta de tsunami: dirígete a un terreno elevado”.
- Denuncias: son mensajes que exponen el mal comportamiento de una persona o empresa y en donde el remitente quiere permanecer en el anonimato.
¿Cómo funciona el SMS spoofing?
Como ya hemos visto antes, el SMS spoofing puede utilizarse con fines legítimos. El problema es que los delincuentes también lo utilizan a menudo para imitar mensajes de empresas como parte de sus ataques de smishing.
Los ciberdelincuentes pueden pretender ser de un banco, una empresa de entrega, una institución de confianza o incluso el propio empleador del destinatario en caso de tratarse de ataques dirigidos.
Sin darse cuenta de que el mensaje es falso, los destinatarios pueden bajar la guardia y hacer clic en los enlaces, lo que podría instalar malware en sus teléfonos o llevarlos a páginas web falsas diseñadas para extraer información privada de ellos.
Otra táctica ingeniosa de los delincuentes es utilizar el SMS spoofing para falsificar las confirmaciones de pago por la compra de artículos caros. En el mensaje fraudulento afirman que pagarán un producto mediante transferencia bancaria, pero en lugar de realizar el pago falsifican un SMS de confirmación de pago y se lo envían al vendedor.
Esta estafa es particularmente común en sitios web que no tienen controles de identidad estrictos. Un buen consejo si vas a vender a través de estos sitios es comprobar siempre en el banco si el dinero ha sido transferido antes de entregar el producto a los compradores.
SIM Swap o intercambio de la SIM
Al igual que el SMS spoofing, el intercambio de SIM surge de una necesidad legítima. Al fin y al cabo, podría tan solo tratarse de un cambio de dispositivo móvil en el que el usuario traslada su SIM de su celular viejo al nuevo. Poder intercambiar la SIM de un dispositivo a otro, asegura la portabilidad de nuestros números y de nuestra data.
Este procedimiento puede ser muy útil cuando el usuario desea:
- Conservar su número de teléfono en caso de cambiar de operador.
- Mantener su número de teléfono cuando perdió o le robaron su dispositivo.
- Mantener su número de teléfono al tener que cambiar a un chip más pequeño o más grande.
Sin embargo, este procedimiento se ha vuelto tan común que los delincuentes han comenzado a explotarlo para tomar el control de los números de teléfono celular de las personas. Lo hacen simplemente contactando al operador y proporcionando datos personales a través de tácticas de ingeniería social y realizando un SIM swap.
Una vez que la cuenta haya sido tomada, el delincuente tendrá acceso a todos los datos personales de la persona y su bandeja de entrada de mensajes para recibir las notificaciones 2FA necesarias para cambiar las contraseñas de los bancos y tarjetas de crédito.
Los servicios de detección de intercambio de la SIM utilizan una serie de algoritmos para poder notificar tanto los intentos como los procedimientos de intercambio exitosos. Los operadores móviles que implementan estas soluciones pueden proteger a sus usuarios de este fraude también conocido como SIM Swap y de todo el estrés y peligros que implica el robo de la identidad.
SMS grey routes o rutas grises de SMS
Como ya lo hemos comentado, el enrutamiento gris o SMS grey routes no afecta a los usuarios de forma tan directa como otro tipo de ataques cibercriminales. Sin embargo, sí altera el equilibrio del ecosistema, elevando los precios de servicio a nivel mundial y creando una experiencia inconexa debido a las medidas preventivas a las que los proveedores de telecomunicaciones debe recurrir.
¿Qué es el tráfico en las rutas grises?
El grey routing SMS representa un tipo de fraude cometido por operadores móviles deshonestos en el que los mensajes SMS A2P, que deberían cobrarse a una tarifa superior, se pasan como tráfico P2P durante todo o parte del recorrido para así beneficiarse de tarifas reducidas.
Esto significa que los proveedores de telecomunicaciones, los cuales facilitan la entrega de mensajes a través de su infraestructura de red, no son compensados correctamente por los servicios que prestan.
En resumen, existen tres tipos de grey routing:
- Operador a Operador: en este escenario, el Operador 1 tiene un acuerdo de roaming con el Operador 2 para enviar mensajes de persona a persona (P2P). La proporción de mensajes entrantes y salientes suele ser la misma por lo que los operadores se comprometen a no cobrarse el tráfico entre ellos. Sin embargo, el Operador 2 (deshonesto) enmascara deliberadamente el tráfico A2P comercial como P2P, por lo que recibe una compensación por los mensajes sin tener que pagar nada al Operador 1.
- Agregadores A2P: en este escenario, las empresas de telecomunicaciones utilizan agregadores A2P locales en un país extranjero para evitar pagar tarifas de roaming premium. Por ejemplo, Telecom A utiliza un agregador que tiene mejores tarifas de SMS que Telecom B para entregar tráfico A2P a través de rutas SMPP. Telecom A es el villano en este caso, ya que evita pagar la tarifa de mercado acordada a Telecom B, quien en realidad entrega el mensaje al destinatario.
- Cajas SIM: también conocidas como “máquinas de tráfico de ruta gris”; estos dispositivos utilizan tarjetas SIM P2P prepagas para manejar de manera fraudulenta el tráfico A2P premium. Estas tarjetas tienen un precio por SMS inferior a los precios directos de telecomunicaciones A2P o incluyen un número fijo de mensajes gratuitos como parte del paquete. La diferencia entre los dos precios, que puede ser significativa, es pura ganancia para los estafadores.
Spam SMS
Existen varias razones válidas (e incluso útiles) para recibir mensajes SMS que no son solicitados directamente por el usuario. Por ejemplo: para notificarle sobre sospechas de fraude o como una forma de alertarlo sobre un evento climático extremo o una campaña de vacunación obligatoria.
El spam de SMS, sin embargo, no hace nada de eso. Por el contrario, viola las leyes de cumplimiento en casi todos los países del mundo y, lamentablemente, eso no impide que las empresas compren listas de números y los bombardeen con ofertas y promociones irrelevantes.
Vale la pena recordar que enviar una comunicación a un usuario que no ha autorizado expresamente este tipo de mensajes es una violación a la Ley General de Protección de Datos Personales (LGPD), a menos que tengas una razón legal para hacerlo debido a su inminente urgencia. El gran problema es que este tipo de mensajes no deseados va en aumento ahora que las personas han podido detectar llamadas de voz de spam a las cuales hacen caso omiso al no contestar.
¿Cómo detener el SMS Spam?
Desde el punto de vista del usuario, es muy poco lo que se puede hacer para detener por completo el spam de SMS. Las solicitudes de bloqueo y “opt-out” para darse de baja de mensajes, cuando están disponibles, son ineficaces o, en el mejor de los casos, temporales. Después de todo, los spammers tienen una gran cantidad de números para usar y es probable que el número que reportes ya se haya descartado.
Para los usuarios finales, la acción más efectiva se realiza directamente desde el dispositivo, bloqueando las notificaciones de números desconocidos o filtrándolas a través de una bandeja de entrada especial. Sin embargo, al hacerlo, se corre el riesgo de perderse de comunicaciones realmente relevantes.
Por lo tanto, la responsabilidad de reducir el spam de SMS y otros intentos de fraude recae en última instancia sobre los proveedores de telecomunicaciones, incluso antes de que lleguen a sus usuarios. Surge entonces la siguiente pregunta: ¿cómo pueden hacer esto sin bloquear el tráfico genuino?
Los operadores son los guardianes de la experiencia y la seguridad del cliente
Las empresas de telecomunicaciones tienen un aliado en la guerra contra los spammers y los estafadores de SMS. Con la ayuda de empresas de tecnología como Infobip, pueden avanzar en sus estrategias de seguridad implementando una serie de soluciones diseñadas para detectar y prevenir el fraude vía SMS.
Una parte clave de esta defensa son los SMS firewalls, los cuales proporcionan:
- Conexión a una base de datos continuamente actualizada de números maliciosos y URLs que pueden bloquearse automáticamente en tiempo real.
- Detección proactiva de amenazas mediante el uso de machine learning para evitar intentos de fraude.
- Respuestas automatizadas a amenazas identificadas.
- Detección de MSISDN que no son “clientes reales” basada en la detección de cajas SIM que pueden proporcionar análisis de reputación de MSISDN.
En un informe que publicamos recientemente, describimos cómo nuestro SMS firewall fue el primero en detectar un tipo de fraude previamente desconocido que se estaba extendiendo por todo el mundo. ¿Cómo lo hizo? Identificó un patrón irregular de contenido de mensajes SMS que no parecía ser tráfico A2P ni mensajes P2P legítimos. Tampoco era spam, ya que los mensajes se remontaban a remitentes legítimos.
Las investigaciones mostraron que el tráfico estaba siendo enrutado a través de una aplicación particular de terceros que podía eludir las tarifas de mensajería internacional. Se informó a los operadores móviles para que así estos pudieran tomar medidas para proteger tanto a sus empresas como a los usuarios de esta nueva amenaza de fraude.
El firewall de SMS de Infobip se actualizó para detectar y bloquear automáticamente estos mensajes. Así mismo, la información sobre los usuarios afectados se transmitió a cada operador móvil para que pudieran ayudar a sus clientes a solucionar el problema.
La solución demostró ser extremadamente precisa, con menos del 0,1% de casos de falsos positivos.
Este ejemplo demuestra que la implementación de una solución antifraude no debe verse como un simple plus para los proveedores de telecomunicaciones para quienes -por el contrario- resulta fundamental alairse con un socio tecnológico experto que monitoree y se adapte constantemente para garantizar que sus herramientas sean efectivas contra las amenazas más recientes del mercado.
Su presencia global y su equipo especializado en seguridad de SMS, hacen de Infobip un aliado calificado y dispuesto a asumir este rol como co-guardián del ecosistema de telefonía móvil. ¡Ponte en contacto con uno de nuestros expertos y obtén más información!
Otros contenidos relacionados que podrían interesarte:
