Spoofing de SMS - Enciclopedia

El SMS spoofing es una tecnología que utiliza el servicio de mensaje corto (SMS), disponible en la mayoría de los teléfonos móviles y asistentes digitales personales, para determinar quién parece ser el remitente del mensaje al reemplazar el número de teléfono móvil de origen (Identificador de Remitente) con texto alfanumérico. El spoofing tiene tanto usos legítimos (como establecer el nombre de la empresa desde la que se envía el mensaje, configurar su propio número de móvil o un nombre de producto) como usos ilegítimos (como imitar a otra persona, empresa o producto). Esto también puede enviar mensajes "misteriosos" que parecen provenir de números o contactos legítimos.


Cómo se realiza el SMS spoofing
El SMS spoofing ocurre cuando un remitente manipula la información de dirección. A menudo, se hace para imitar a un usuario que ha migrado a una red extranjera y está enviando mensajes a la red de origen. Con frecuencia, estos mensajes se dirigen a destinos fuera de la red de origen, con el SMSC de origen esencialmente siendo "secuestrado" para enviar mensajes a otras redes. En casos avanzados, pueden incluso secuestrar contactos existentes en un teléfono. En otras palabras, el mensaje del secuestrador puede aparecer como si provenía de cualquier número.
El impacto de esta actividad es triple:

La red de origen puede incurrir en cargos de terminación causados por la entrega de estos mensajes a los socios de interconexión.
Estos mensajes pueden ser de preocupación para los socios de interconexión. Sus clientes pueden quejarse de recibir spam, o el contenido de los mensajes puede ser políticamente sensible. Los socios de interconexión pueden amenazar con cortar la red de origen a menos que se implemente una solución. Los suscriptores de la red de origen no podrán enviar mensajes a estas redes.
Mientras que los estafadores suelen usar identidades falsificadas para enviar mensajes, hay un riesgo de que estas identidades coincidan con las de los suscriptores reales de la red de origen. Por lo tanto, surge el riesgo de que los suscriptores reales sean facturados por mensajes de roaming que no enviaron. Si esta situación ocurre, la integridad del proceso de facturación del operador de la red de origen puede verse comprometida, con un impacto potencialmente enorme en la marca.
Los casos de uso legítimos del SMS spoofing incluyen:

Un remitente transmite un mensaje SMS desde una red de computadoras en línea para obtener precios más bajos y competitivos, y para facilitar la entrada de datos desde una consola de tamaño completo. Deben falsificar su propio número para identificarse adecuadamente.
Un remitente no tiene teléfono móvil y necesita enviar un mensaje SMS desde un número que ha proporcionado al destinatario con anticipación como medio para activar una cuenta.
Un remitente adopta el identificador de gateway de red predeterminado proporcionado por un servicio en línea, para enviar un mensaje SMS anónimo, en lugar de especificar un número de su elección.
Un tercero envía un mensaje a un número virtual, que luego reenvía (reenvía) el mensaje a uno o más destinatarios de manera que la dirección de origen real (en lugar del número virtual) aparezca como el identificador del remitente y los destinatarios puedan responder, llamar, clasificar, guardar u otros procesar el mensaje de la manera esperada.
Un ataque de SMS spoofing a menudo se detecta por primera vez por un aumento en el número de errores de SMS encontrados durante una ejecución de facturación. Estos errores se deben a las identidades de suscriptores falsificadas. Los operadores pueden responder bloqueando diferentes direcciones de origen en sus Gateway-MSC, pero los estafadores pueden cambiar direcciones fácilmente para eludir estas medidas. Si los estafadores pasan a usar direcciones de origen en un socio de interconexión importante, puede volverse ineficaz bloquear estas direcciones, debido al impacto potencial en los servicios de interconexión normales.


Legalidad
En 2007, el regulador de tarifas premium del Reino Unido, PhonepayPlus (anteriormente ICSTIS), llevó a cabo una consulta pública sobre los SMS anónimos, en la que dijeron que no estaban en contra de la operación de dichos servicios. Sin embargo, en 2008, PhonePayPlus introdujo nuevas regulaciones que cubren los SMS anónimos, requiriendo que los proveedores de servicios de SMS anónimos envíen un mensaje de seguimiento al destinatario informando de que se les ha enviado un SMS falsificado y operen una línea de ayuda para quejas.


Protección de los usuarios contra el SMS spoofing
Si un usuario puede demostrar que sus sesiones de SMS han sido falsificadas, debe contactar tanto a las autoridades policiales como con su proveedor de servicios celulares, que deben poder rastrear dónde se enviaron realmente los mensajes SMS. Un usuario también puede modificar la configuración del teléfono para que solo se permitan mensajes de números autorizados. Esto no siempre es efectivo, ya que los hackers podrían estar imitando a los amigos del usuario.


Referencias