Innegablemente desde el uso masivo de Internet en los smartphones, la cantidad de mensajes de texto (SMS) que se envían y reciben ha disminuido mientras los usuarios se vuelcan a plataformas online. No obstante, aún siguen siendo una herramienta usada de la cual poco se sabe en términos de la seguridad y autenticidad del origen de los mensajes.

Como mencionamos en otras ocasiones, los ciberdelincuentes se han ido profesionalizando, acompañando los avances tecnológicos e innovando en distintas técnicas y canales. Las capacidades del spoofing SMS (suplantación de SMS) son un claro ejemplo de cómo los ciberdelincuentes utilizan tecnologías emergentes para reutilizar los métodos de Ingeniería Social, como la antigua pero vigente técnica de suplantación de identidad en correos electrónicos.

¿Qué es el spoofing de SMS?    

Como ya adelantamos, el spoofing SMS es el envío de mensajes de texto sin un origen veraz, lo que significa que el ciberdelincuente falsifica o anonimiza la dirección del remitente. Muchas veces este proceso es utilizado para el envío de campañas publicitarias, aunque en muchos países este tipo de publicidad es ilegal.

Como consecuencia, los proveedores de servicios telefónicos han comenzado a filtrar estos mensajes; sin embargo, estas técnicas aún siguen vigentes en el mundo de los ciberdelitos.

El spoofing SMS funciona en todo el mundo en casi todas las redes móviles. Europa y Australia son dos de los lugares donde resulta más fácil falsificar los mensajes SMS. En cambio, Estados Unidos o Canadá son probablemente los países en donde, por protocolos de seguridad, es más difícil falsificar mensajes aplicando las técnicas usuales.

Entonces, ¿es posible recibir mensajes de texto desde una número conocido sin que realmente ese número lo haya enviado?

Hoy en día, la suplantación de SMS no es tan fácil como lo era hace unos años atrás. Pero navegando en internet, como veremos en la siguiente imagen, es posible encontrar muchos servicios que por algunos centavos de dólar permiten este tipo de envíos.

sms_gang

La efectividad de la recepción del mensaje variará mucho según las tecnologías aplicadas en el país y la compañía telefónica involucrada.

Se debe tener cuidado especial al utilizar estos servicios, debido a que muchos realmente no funcionan, sino que en realidad son una trampa: solo capturarán un número de teléfono válido para luego enviar spam. De este modo, este tipo de servicios es utilizado en muchas ocasiones para generar bases de datos conteniendo números telefónicos válidos.

También existen varias aplicaciones tanto en Google Play como en Apple Store, que prometen a sus usuarios este tipo de técnicas, ya sea cambiando el origen del SMS por uno anónimo o bien por el que el usuario desee. Particularmente, este caso es más crítico que el uso de servicios, debido a que si decides instalar este tipo de aplicaciones (que muchas veces se encuentran fuera de repositorios oficiales) corres mucho riesgo de infectarte con malware.

¿Qué pasa con WhatsApp o Telegram?

En estas plataformas también existe la posibilidad de aplicar técnicas similares, aunque por supuesto son ataques técnicamente más complejos: estarán relacionados con ataques Man-In-The-Middle (MITM), la obtención del IMEI y algunas claves del usuario.

Si bien este tipo de ataques es posible, es poco probable ser víctima de estas técnicas y en la actualidad no se han registrado casos de mayor importancia en la región. También se encuentran servicios en Internet que tienen muchas similitudes a los mencionados anteriormente, relacionados al SMS spoofing, que en muchos casos son solo un medio para recolectar números de teléfono válidos.

Pero… ¿cuáles son los riesgos de caer en este tipo de ataque?

Como podrás imaginarte, estos ataques pueden ser utilizados para realizar robos de identidad. Por ejemplo, un atacante podría enviar mensajes de texto haciéndose pasar por tu operadora telefónica con el fin de que te instales o te inscribas sin darte cuenta a algún servicio Premium que genera más gastos imprevistos en tu facturación.

Además, en conjunto podría aplicar técnicas de Ingeniería Inversa, en donde el atacante se haría pasar por una entidad o persona conocida para realizar distintos fraudes financieros, e inclusive propagar códigos maliciosos para teléfonos celulares o troyanos en Android.

Al encontrarse servicios de bajo costo para estas técnicas, para los ciberdelincuentes resulta atractivo usar este tipo de propagación; por eso es de vital importancia estar alertas al recibir un SMS extraño.

¿Cómo puedes protegerte?

La principal contramedida en este caso es la educación y concientización: conociendo sobre este tipo de peligros y compartiendo esta información, tendrás una de las maneras más efectivas para evitar ser víctima de los fraudes que hay detrás de este tipo de técnicas.

También es recomendable tener una solución de seguridad actualizada para dispositivos móviles, y no responder mensajes extraños de números desconocidos. Por otra parte, si recibes varios mensajes de texto de números extraños, sugerimos bloquearlos con tu solución de seguridad.