¿Que es el SMS Spoofing?.

Hace unos días nos entrabamos en las noticias con una alerta de una campaña de phishing que afectaba a Correos utilizando el SMS Spoofing para conseguir que algún incauto «pique» como se ve en la imagen de la cuenta del twitter de Correos con la excusa de que «no se han pagado las tasas de aduana» no se ha podido enviar un paquete y nos envían a un enlace, que tiene toda la apariencia de ser autentica, pero en realizar lo que están haciendo es suplantar la identidad de la empresa afectada (en este caso Correos)

La suplantación por SMS ( o SMS spoofing en inglés ) consiste en el cambio de los caracteres que aparecen como remitente de un SMS (Short Messages System) de modo que en lugar de un número de teléfono aparezca un nombre, generalmente el de una empresa o la marca comercial con la intención de falsificar y anonimizar la dirección del remitente del SMS. Esta técnica también se utiliza en otros protocolos de comunicación como el email, DNS, dirección IP, etc… pero eso es contenido para otra entrada.

¿Qué es?

Cuándo a un SMS se le aplica la técnica de spoofing, el nombre del remitente, el teléfono, o ambos, son cambiados por una palabra que hace de identificador (id.). Un uso común del spoofing es el envío de mensajes de texto a los clientes de la empresa o a la marca a la que se intenta suplantar. Como ya adelantamos, el spoofing SMS es el envío de mensajes de texto sin un origen veraz, lo que significa que el ciberdelincuente falsifica o anonimiza la dirección del remitente. Muchas veces este proceso es utilizado para el envío de campañas publicitarias, aunque en muchos países este tipo de publicidad es ilegal.

Como consecuencia, los proveedores de servicios telefónicos han comenzado a filtrar estos mensajes; sin embargo, estas técnicas aún siguen vigentes en el mundo de los ciberdelitos. El spoofing SMS funciona en todo el mundo en casi todas las redes móviles. Europa y Australia son dos de los lugares donde resulta más fácil falsificar los mensajes SMS. En cambio, Estados Unidos o Canadá son probablemente los países en donde, por protocolos de seguridad, es más difícil falsificar mensajes aplicando las técnicas usuales.

Entonces, ¿es posible recibir mensajes de texto desde una número conocido sin que realmente ese número lo haya enviado?. Hoy en día, la suplantación de SMS no es tan fácil como lo era hace unos años atrás. Pero navegando en internet, como veremos en la siguiente imagen, es posible encontrar muchos servicios gratuitos, o que por algunos centavos de dólar  ( ‘SMSGang.com’, ‘Spoofmytextmessage‘) permiten este tipo de envíos.

Si entramos en estas webs podemos observar que el mecanismo es sencillo. En un primer campo nos solicita el número de teléfono al que queremos enviar el SMS, en un segundo campo está el «from», el apartado más importante pues será el identificador del remitente. Aquí hay servicios que únicamente permiten añadir un número de hasta 11 caracteres, pero también hay otros que permiten escribir un texto.

Precisamente con los SMS-estafa, los atacantes habrían utilizado la técnica del SMS Spoofing para escribir «from:Correos». Después únicamente fue necesario que la aplicación de mensajes del móvil, tanto en Android como en iOS, identificase que los SMS mantienen el mismo ID o remitente y los colocase en la misma sección. Además es muy fácil confundirlos si ya hemos tenido relación con la compañía afectada y ya hemos recibido comunicaciones de la misma

¿Cómo protegerse?

El SMS spoofing puede ser utilizado con variados fines que suponen un fraude. Uno de los más comunes es la solicitud de información a la víctima a través de mensajes de texto con identidad suplantada. Las tácticas pueden incluir mandar SMS haciéndose pasar por bancos o por la compañía telefónica solicitando información, pidiendo visitar una página de internet o llamar a un número de teléfono para resolver un supuesto problema. Incluso se han dado casos en los que el SMS fraudulento se hacia pasar por algún amigo en problemas. Os recuerdo que este tipo de entidades sólo utilizan el SMS como notificación, y no van a requerir la realización de una acción y mucho menos una acción de pago.

Es complicado evitar la recepción de este tipo de mensajes, al menos en móviles viejos, es la operadora la que debería filtrar estos mensajes falsos. Ello no significa esto que no exista manera de detectar cuando el remitente es falso, pero es un problema muy ligado a cómo funciona el protocolo de comunicación tan anticuado como el  SMS.

La primera recomendación es buscar indicios que nos hagan dudar de la legitimidad del mensaje. Aquí entran desde faltas de ortografía, frases inconsistentes o errores sin sentido. En otras ocasiones el nombre del remitente no es exacto. También ocurre que la URL de la página web que nos enlazan no es la habitual. Independientemente, la recomendación habitual de los expertos en seguridad es que nunca hagamos clic en estos enlaces que nos envían por SMS, mucho menos realizar gestiones desde ahí y en ningún caso añadir nuestros datos. y por supuesto avisar a la empresa / entidad afectada y comunicarlo a la policía para evitar este tipo de estafas.

Deja un comentario