Elon Musk provocó un gran revuelo en el mercado tras afirmar que Twitter perdía 60 millones de dólares al año debido a que las empresas de telecomunicaciones utilizaban cuentas de bots para enviar SMS A2P. Esta bomba mediática sacó entonces a la luz un tipo de fraude que, en efecto, tiene inmensas consecuencias y repercusiones para todo el ecosistema móvil y de la mensajería: la inflación artificial del tráfico (AIT).
La inflación artificial del tráfico utiliza bots para generar solicitudes de PINs únicos, lo que genera costos indebidos y beneficia financieramente al estafador. El impacto de este tipo de fraude es muy amplio y abarca desde la confianza generalizada hacia el ecosistema digital y móvil, hasta la reputación de las marcas y de las empresas de telecomunicaciones, terminando por ensuciar la percepción de seguridad del sistema visto como un todo. Lo anterior plantea la cuestión de si la autenticación de dos factores efectuada mediante SMS A2P es fiable y, en consecuencia, si podría socavar la viabilidad de los SMS como canal de mensajería comercial.
Siendo honestos, los riesgos son altos. Las empresas de telecomunicaciones han considerado durante mucho tiempo los SMS A2P como una fuente de ingresos confiable, principalmente debido al suministro de PINs de un solo uso. Por otro lado, el fraude AIT puede llevar a las empresas a buscar otros tipos de autenticación que pueden no estar disponibles para la mayoría de los usuarios; esto teniendo en cuenta que quizás la mayor ventaja de los SMS de 2FA es su facilidad de uso y su compatibilidad con todo tipo de dispositivos. Por su parte, no contar con un eficaz sistema de 2FA podría dejar tus cuentas desprotegidas y, para empezar, eso ni siquiera debería ser una opción para tu empresa.
La ironía de la situación es que, a pesar del costo asociado con la inflación artificial del tráfico, todos en el ecosistema pueden ser beneficiarios potenciales. Esto se debe a que, si bien las empresas son las víctimas más comunes de este tipo de fraude, existen algunas que lo utilizan para aumentar o inflar su número de usuarios y mostrar un crecimiento fraudulento.
Sin embargo, a largo plazo, esto tiene efectos perjudiciales en todo el ecosistema de mensajería. Para combatir estas crecientes amenazas, las empresas de telecomunicaciones, los proveedores de comunicaciones y las marcas deben trabajar de la mano para así proteger a sus clientes -y a sí mismos- del fraude y del abuso, que tiene la reputación del ecosistema de la mensajería en Jaque.
¿Qué es la inflación artificial del tráfico?
La inflación artificial del tráfico es un tipo de fraude que aumenta el número de solicitudes de PINs de un solo uso. Este tipo de fraude suele ser perpetrado por delincuentes que utilizan programas de software automatizados para enviar una gran cantidad de solicitudes de PINs para de este modo generar ingresos. El mayor problema aquí es que las empresas tienen dificultades para distinguir las solicitudes “falsas” de las solicitudes genuinas de los usuarios.
El complejo ecosistema de la mensajería puede llevar a que diversas partes utilicen la AIT para lo siguiente:
- Empresas: Las marcas pueden hacer un mal uso de la AIT para inflar falsamente la percepción de su base de clientes, ya que puede ser un indicador del crecimiento de esa base.
- Proveedores de comunicaciones: los proveedores CPaaS pueden hacer un mal uso de la AIT para aumentar la cantidad de OTPs, lo que podría generarles directa o indirectamente más ingresos.
- Operadores de redes móviles: los operadores de redes móviles pueden hacer un mal uso de la AIT para aumentar la cantidad de OTPs, lo que podría generarles directa o indirectamente más ingresos.
Conclusión: todas las partes involucradas podrían beneficiarse del uso de la AIT, por lo que es difícil señalar a alguien. Sin embargo, si todos trabajamos juntos, podemos hacer que el canal vuelva a ser seguro y confiable.
¿Por qué las marcas y las empresas de telecomunicaciones caen en la trampa del AIT?
Podemos identificar dos fuentes de tráfico inflado artificialmente. El primero proviene de aquellas empresas que buscan de forma proactiva obtener las tarifas y opciones de proveedores más baratas del mercado, lo que las lleva a asociarse con agregadores de nivel inferior. Y es que, tal y como lo sugiere un afamado dicho, si la oferta es demasiado buena para ser verdad, es posible que te estén estafando. La lógica aquí es que al acceder a rutas más baratas para generar tráfico las empresas podrán ahorrar costos. Sin embargo, con estos bajos costos, los agregadores pueden tener dificultades para alcanzar el punto de equilibrio después de pagar a la empresa de telecomunicaciones por utilizar el tráfico de las marcas. Es justo ahí donde les resulta útil enviar tráfico artificial a la marca con mensajes generados por los usuarios. Dado que el agregador de nivel inferior no envía el tráfico a la empresa de telecomunicaciones, este se queda con las ganancias de dicho tráfico. Adicionalmente, las marcas o empresas que trabajan con agregadores de bajo costo y no con un agregador acreditado con conexiones directas o con la empresa de telecomunicaciones directamente, existen casos en los que se crean bots para solicitar OTPs y así aumentar la cantidad de mensajes enviados.
Respecto del segundo tipo de tráfico artificialmente inflado, a veces las empresas de telecomunicaciones establecen altos objetivos de ingresos por SMS A2P, lo que las conduce a asociaciones -intencionales o no- con agregadores que les bombean tráfico artificial. Esto genera más ingresos para la empresa de telecomunicaciones y a su vez implica facturas infladas para las empresas.
Cabe destacar que ambos escenarios dañan la reputación de la industria de la mensajería A2P y, por lo mismo, son igualmente dañinos.
¿Cuáles son los principales casos de uso de la mensajería a partir de la inflación artificial del tráfico?
Los principales tipos de mensajes utilizados para la inflación artificial del tráfico son los siguientes:
- Mensajes urgentes generados por el usuario, como contraseñas de un solo uso.
- Mensajes recibidos por el usuario respecto de una actividad sospechosa que le requiere iniciar una conversación preventiva.
¿Por qué el 2FA y los OTPs son los principales casos de uso para la inflación artificial del tráfico?
Las empresas suelen utilizar OTPs para registrar nuevos usuarios, iniciar sesión y restablecer contraseñas. En este sentido, debido a las altas tasas de SMS de algunos (muchos) mercados, todo lo que necesita un delincuente es crear bots para así poner en marcha la generación del tráfico falso.
¿Cómo mitigar la inflación artificial del tráfico?
Si bien algunos pueden ver la inflación artificial del tráfico como una fuente de ingresos, la realidad es que esta no le hace ningún favor a la industria y, de hecho, plantea dudas sobre la confianza, la credibilidad y el cumplimiento de las regulaciones locales.
Por lo tanto, para reducir el riesgo de la inflación artificial del tráfico, las empresas de telecomunicaciones, los proveedores de comunicaciones y las empresas deben implementar una estrategia integral de prevención del fraude. Esto incluye monitorear actividades sospechosas, implementar protocolos de autenticación, utilizar análisis avanzados para detectar anomalías en los patrones del tráfico y agregar nuevas capacidades para reconocer el AIT a kilómetros.
Finalmente, todas las partes involucradas deben asegurarse de que sus sistemas sean actualizados periódicamente con lo último en materia de seguridad para así protegerse contra posibles vulnerabilidades o baches de seguridad.
¿Qué pueden hacer las empresas para proteger el ecosistema de la mensajería?
Como se mencionó anteriormente, la responsabilidad recae en los tres tipos de organizaciones, incluidas las marcas. Como empresa, es importante elegir responsablemente a tu proveedor de comunicaciones para ayudarte a combatir la AIT. Al respecto de esto, si bien el costo es siempre un factor importante al elegir un proveedor o agregador de comunicaciones, no debería ser el único.
Ya pasando de la teoría a la práctica, estos son algunos de los factores les recomendamos a las empresas tener en cuenta al momento de evaluar distintos proveedores de comunicaciones:
- Costo: los costos de mensajería más altos son un indicador de que se están utilizando rutas oficiales e indican el uso de conexiones directas.
- Validez de las conexiones: las cartas de confirmación y las referencias de los proveedores de telecomunicaciones aumentan la credibilidad de los agregadores y proveedores de comunicaciones.
- Tasas de conversión: la tasa de conversión proporciona transparencia en los mensajes que se convierten y los vincula con la actividad de la plataforma.
- Conexiones directas: el número de conexiones directas con operadores de telecomunicaciones elimina el riesgo de rutas grises y reduce las posibilidades de fraude en las comunicaciones.
- Pruebas: antes de firmar un contrato con un proveedor, las empresas deben probar la conexión para entrar a revisarlo de primera mano.
¿Qué pueden hacer los operadores de telecomunicaciones?
Las empresas de telecomunicaciones u operadores de redes móviles son uno de los principales stakeholders del ecosistema de la mensajería.
Por lo tanto, deben:
- Establecer objetivos realistas: al establecer objetivos o KPIs de tráfico de SMS A2P, las empresas de telecomunicaciones deben analizar su crecimiento orgánico y establecer objetivos alcanzables.
- Realizar asociaciones responsables: al igual que las marcas, las empresas de telecomunicaciones deben elegir sabiamente a sus socios de comunicaciones y no solo elegir en función de los ingresos que el proveedor o agregador de comunicaciones puede ofrecer, sino en función de uno que pueda actuar como consultor y ofrecer seguridad junto con los ingresos.
¿Qué pueden hacer al respecto los agregadores y proveedores de comunicación?
Para proteger todo el ecosistema, los agregadores y proveedores de comunicaciones pueden agregar un sello de seguridad adoptando una política de tolerancia cero hacia la inflación artificial del tráfico y brindando consultoría y soluciones para ayudar a monitorear y proteger al ecosistema del mismo.
¿Cuáles son las mejores prácticas para evitar la inflación artificial del tráfico?
La inflación artificial del tráfico puede ser difícil de detectar y de prevenir; sin embargo, existen algunas mejores prácticas y soluciones que pueden ayudar a reducir el riesgo.
Por ejemplo:
- Implementación de firewalls
Los firewalls de SMS son una herramienta eficaz para prevenir la inflación artificial del tráfico. Pueden detectar y bloquear patrones de tráfico de SMS sospechosos, como grandes volúmenes de mensajes enviados hacia y desde el mismo destino. Esto ayuda a proteger a las empresas de los malos actores que pueden estar intentando aumentar su tráfico mediante el envío de mensajes falsos.
Además, se pueden utilizar firewalls para detectar y bloquear mensajes con contenido malicioso, como spam o enlaces de phishing.
- Establecer límites de velocidad
Los límites de velocidad son protecciones importantes que se utilizan para detener el comportamiento fraudulento y evitar que los atacantes apunten a las aplicaciones. Establecer un límite en la cantidad de mensajes que se pueden enviar a ciertos números o prefijos ayuda a mantener la actividad delictiva bajo control, particularmente en relación con los servicios financieros donde los estafadores pueden intentar utilizar vulnerabilidades para acceder a datos o recursos confidenciales.
El establecimiento de límites de tasas debe monitorearse de manera inteligente con la ayuda de la inteligencia artificial y el aprendizaje automático, no estableciendo un límite estático. De esta manera, los límites de tarifas se pueden cambiar de forma dinámica y en tiempo real, lo que dificulta las estrategias de los estafadores.
- Detección de bots
Prevenir que bots envíen tráfico generado artificialmente o que solicitan OTPs es importante para proteger el ecosistema. Bibliotecas como BOTd o CAPTCHA pueden ayudar a detectar y frustrar el tráfico de bots aplicando pequeños cambios en la experiencia del usuario; por ejemplo, exigiendo que los usuarios validen su dirección de correo electrónico antes de registrarse vía 2FA.
Aunque esto supone un pequeño esfuerzo para los usuarios, evita los scripts y bots automatizados.
Además, existen soluciones de aprendizaje automático disponibles que pueden ayudar a identificar bots fraudulentos al monitorear el tiempo entre solicitudes de OTP, verificar la secuencia de números y el historial de tráfico.
- Retrasos implementados entre solicitudes de reintentos de verificación
Implementar intervalos exponenciales entre nuevos intentos de autenticación es extremadamente importante para evitar transmisiones rápidas. Este tipo de regulación de tarifas asegura que un mismo número de teléfono no se sobrecargue con demasiados mensajes en un corto período de tiempo y ayuda a identificar acciones iniciadas por bots.
Al utilizar retrasos exponenciales (es decir, cuando el intervalo entre cada consulta aumenta exponencialmente), proporcionas más control sobre la frecuencia con la que se distribuyen las notificaciones. Una buena práctica al implementar SMS de 2FA es especificar un número máximo de intentos y utilizar algoritmos de retroceso para identificar el intervalo de tiempo entre cada intento.
- Monitoreo de las tasas de conversión de los OTPs
Examinar las tasas de conversión de códigos de un solo uso es una parte fundamental para proteger cualquier configuración que utilice OTPs para la autenticación de los usuarios. Para garantizar que las OTPs se utilicen correctamente, es esencial monitorear las tasas de conversión y crear alarmas cuando el uso excede un cierto umbral.
- Detección del fraude mediante Infobip Signal
Para proteger a las empresas contra la inflación artificial del tráfico, desarrollamos una solución para detectar el tráfico fraudulento y evitar daños a la reputación y los ingresos sin afectar el tráfico normal.
La solución es de fácil uso y no requiere de ningún esfuerzo por parte de tu equipo de desarrollo. Signals utiliza enfoques volumétricos y basados en tasas para detectar cualquier actividad sospechosa, técnicas basadas en inteligencia como el análisis de perfiles de riesgo, tasas de contacto, densidades de saturación y comportamientos sospechosos de cuentas para mitigar ataques y detectar y detener el tráfico generado artificialmente en tiempo real mediante el uso de machine learning y de algoritmos avanzados.
Creando juntos un ecosistema de mensajería más seguro
En conclusión: para crear un ecosistema de mensajería seguro y recuperar la confianza de los usuarios y del mercado, las empresas de telecomunicaciones, las marcas y los agregadores deben trabajar de forma conjunta e implementar soluciones para evitar la inflación artificial del tráfico. Después de todo, la industria de las comunicaciones está creciendo y la tolerancia continua a la inflación artificial del tráfico podría resultar en una pérdida de credibilidad y un cambio de los casos de uso de la mensajería a otros canales OTT.
Las empresas deben ser conscientes de los riesgos de utilizar rutas de bajo costo. Por su parte, las empresas de telecomunicaciones deben alinear sus expectativas con el crecimiento orgánico de sus mercados y los agregadores no deben poner en riesgo su reputación para ahorrarse unos pocos dólares o pesos.
En Infobip trabajamos directamente con empresas de telecomunicaciones y empresas de todas las verticales para proteger el ecosistema. Nuestras más de 800 conexiones directas con operadores y soluciones de firewall nos ayudan a limitar el fraude y garantizar que ningún tercero se beneficie del tráfico artificial. ¡Habla con uno de nuestros consultores y descubre más!
