Los estafadores pueden deslizar textos falsos en hilos de SMS legítimos. ¿Los detendrá la represión del gobierno?

¿Está cansado de recibir estafas de SMS que pretenden ser de Australia Post, la oficina de impuestos, MyGov y bancos? No estás solo. Cada año, miles de australianos son víctimas de estafas por SMS. y pérdidas han surgido en años recientes.

En 2022, las pérdidas por estafas de SMS superaron los 28 millones de dólares australianos, que es casi el triple de la cantidad de 2021. Este año ya alcanzaron los 4 millones de dólares australianos, más que el total de 2020. Estas cifras probablemente sean mucho más altas si se incluyen las pérdidas no denunciadas, ya que las víctimas a menudo no hablan debido a la vergüenza y el estigma social.

El mes pasado, el gobierno federal anunció planes para combatir las estafas basadas en SMS mediante la implementación de un registro de ID de remitente de SMS. Según este sistema, las organizaciones que deseen enviar SMS a sus clientes primero deberán registrar su ID de remitente en un organismo gubernamental.

¿Qué tipos de estafas ayudaría a prevenir el registro propuesto? ¿Y es demasiado poco, demasiado tarde?

Manipulación de la identificación del remitente

Uno de los tipos más preocupantes de estafas por SMS es cuando los mensajes fraudulentos se infiltran en hilos de mensajes legítimos, lo que dificulta diferenciar entre un servicio legítimo y una estafa.

SMS es una tecnología más antigua que carece de muchas funciones de seguridad modernas, incluido el cifrado de extremo a extremo y la autenticación de origen (que le permite verificar si el remitente reclamado envía un mensaje). La ausencia de este último es la razón por la que vemos estafas altamente creíbles como la siguiente.

Hay dos tipos principales de SMS:

• peer-to-peer (P2P) es lo que la mayoría de la gente usa para enviar mensajes a amigos y familiares.

• aplicación a persona (A2P) es una forma para que las empresas envíen mensajes de forma masiva mediante el uso de un portal web o una aplicación.

El problema con la mensajería A2P es que las aplicaciones se pueden usar para ingresar cualquier texto o número (o combinación) en el campo de ID del remitente, y el teléfono del destinatario usa esta ID de remitente para agrupar los mensajes en hilos.

En el ejemplo anterior, el estafador simplemente habría tenido que escribir «ANZ» en el campo de ID del remitente para que su mensaje fraudulento apareciera en el hilo de mensajes reales con ANZ. Y, por supuesto, aún podrían hacerse pasar por ANZ incluso si no existiera un hilo legítimo anterior, en cuyo caso aparecería en un nuevo hilo.

Los portales web y las aplicaciones que ofrecen servicios A2P generalmente no hacen su debida diligencia y verifican si un remitente es el propietario real de la identificación del remitente que está utilizando. Tampoco hay requisitos para que las compañías de telecomunicaciones verifiquen esto.

Además, los proveedores de telecomunicaciones generalmente no pueden bloquear los mensajes SMS fraudulentos debido a lo difícil que es distinguirlos de los mensajes genuinos.

¿Cómo ayudaría el registro de ID de remitente?

El año pasado, la Autoridad Australiana de Comunicaciones y Medios presentó nuevas reglas para que la industria de las telecomunicaciones combata las estafas por SMS al rastrearlas y bloquearlas. El Código de la Industria de Reducción de Llamadas y Mensajes Cortos de Estafa requería que los proveedores compartieran inteligencia de amenazas sobre estafas y las reportaran a las autoridades.

En enero, la empresa de soluciones de mensajes de texto A2P Modica recibió una advertencia por no cumplir con las reglas. ACMA encontrado Modica no contaba con los procedimientos adecuados para verificar la legitimidad de los ID de remitentes de SMS basados ​​en texto, lo que permitía a los estafadores llegar a muchos usuarios móviles en Australia.

Aunque el código de ACMA es útil, es difícil identificar a todos los proveedores de A2P que no lo siguen. Se necesitaba más acción.

En febrero, el gobierno instruido ACMA para explorar el establecimiento de un registro de ID de remitente de SMS. Básicamente, sería una lista blanca de todos los ID de remitente alfanuméricos que se pueden usar legítimamente en Australia (como «ANZ», «T20WorldCup» o «Uber»).

Cualquier empresa que desee utilizar una identificación de remitente deberá proporcionar una identificación y registrarla. De esta manera, los proveedores de telecomunicaciones podrían consultar el registro y bloquear mensajes sospechosos a nivel de red, lo que permitiría una defensa adicional en caso de que los proveedores de A2P no hagan su debida diligencia (o se vean comprometidos).

Todavía no se ha decidido qué detalles de identificación recopilaría un registro de Australia, pero estos podrían incluir números de remitente asociados con una organización y/o una lista de proveedores A2P que utilizan.

Por lo tanto, si «ANZ» envía mensajes desde un número que ANZ no ha registrado, o a través de un proveedor A2P que ANZ no ha designado, el proveedor de telecomunicaciones podría marcarlos como estafas.

Un registro de ID de remitente de SMS sería un paso positivo, pero podría decirse que se ha retrasado mucho y se ha tomado con lentitud. El Reino Unido y Singapur han tenido sistemas similares desde 2018 y el año pasado, respectivamente. Pero no hay un cronograma claro para Australia. Los tomadores de decisiones deben actuar con rapidez, teniendo en cuenta que la adopción por parte de los proveedores de telecomunicaciones llevará tiempo.

Alerta restante

Un registro de ID de remitente de SMS reducirá la suplantación de identidad de la empresa, pero no evitará todas las estafas de SMS. Los estafadores aún pueden usar números de remitente regulares para estafas como «Hola mamá» estafa.

Además, a medida que la seguridad de los SMS se somete a un mayor escrutinio, los malos actores pueden cambiar a aplicaciones de mensajería como WhatsApp o Viber, en cuyo caso el control regulatorio será un desafío.

Estas aplicaciones a menudo están encriptadas de extremo a extremo, lo que dificulta que los reguladores y los proveedores de servicios detecten y bloqueen las estafas enviadas a través de ellas. Entonces, incluso una vez que se establece un registro, siempre que sea posible, los usuarios deberán permanece alerta.

Este artículo se vuelve a publicar de La conversación bajo una licencia Creative Commons. Leer el artículo original.