Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros, y que se liberan públicamente un mes más tarde.

Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.

*******

Negocios Seguros

sms phishing

El otro día comentábamos en el grupo privado de mecenas cómo a algunos de nosotros nos están últimamente bombardeando bastante con campañas de phishing vía SMS.

El ataque es por todos (nosotros) conocido. Te llega un SMS que se hace pasar por Correos/FedEX/Seur/LaCompañíaQueSea para alertarnos de que tenemos un pedido pendiente de entrega, y que si no acordamos otro día para la cita (o cualquier otra excusa semejante) lo perderemos.

Son campañas estacionales (dentro de poco empezarán con la de Hacienda), que se repiten una y otra vez. Y cuando esto ocurre solo hay un corolario: funcionan.

El tema además se agrava por una serie de detonantes que aislados no tendrían mucho impacto, pero que juntos ponen las cosas más complicadas:

  • Muchas de estas empresas siguen utilizando el SMS como canal de comunicación principal con sus clientes: Compañías de mensajería o telcos utilizan de forma habitual este canal. Un canal que es muy fácilmente usurpable por cualquier otro, como veremos a continuación.
  • Los SMS no tienen sistema estándar de verificación de identidad: Hay acercamientos, por supuesto. En su día de hecho comentamos uno de Google que pintaba la mar de bien. Hace poco Brian Krebs (EN) se hacía eco de los servicios de una herramienta (Sakari) que venía a ofrecer una suerte de Man in the Middle protector para evitar precisamente la proliferación de malware y phishing en este canal. Pero hoy en día cualquiera con un número de teléfono (real o virtual, para más inri) puede enviar masivamente SMS a terceros sin pasar ningún control de contenido. URLs, fraudes, extorsiones… Mientras el contenido entre en el número de caracteres disponible, es viable.
  • El caso de norteamérica con los SMS: Además, se da la casualidad de que en EEUU, epicentro de muchas de estas campañas (ya sabes que la mayoría nos llegan traducidas de allí) tienen una relación con los SMS mucho más cercana que por aquí por Europa. Y me explico…

EEUU es feudo de Apple. Los iPhone andan 50-50 compitiendo con el resto de smartphones Android, pero hace años, cuando esto de los teléfonos inteligentes cuajó, Apple era ama y señora de norteamérica. Lo que hizo que en su día iMessage se posicionara como el referente incuestionable de la mensajería instantánea… por dos motivos principales:

  • El coste de envíos de SMS era prácticamente nulo: O mejor dicho, mientras en Europa tardó bastante en llegar la tarifa plana de SMS (no era algo muy habitual en los contratos), en EEUU era la norma.
  • iMessage, que viene por defecto en todos los iPhone, tiene compatibilidad con los protocolos SMS: De manera que en una única aplicación tenías la lectura y escritura de SMS, y si ambos usuarios (receptor y emisor) tenían un iPhone, el mensaje se enviaba directamente con el protocolo de iMessage.

Mientras tanto en Europa la cosa estaba mucho más reñida. No solo como decía no era tan habitual tener una tarifa plana de SMS, sino que además aquí funcionaron muy bien las BlackBerry, que cohabitaron durante varios años con los smartphones, en un reparto de territorios desigual y cada vez más dependiente de Android.

Es por ello que cuando de pronto llega al mercado algo como WhatsApp, fuera de EEUU triunfa por el simple motivo de ser como un gestor de SMS pero gratuito y lo que es mejor aún: multiplataforma.

De ahí que en EEUU hoy en día sigan utilizando tantísimo aún los SMS, mientras que fuera la mayoría prácticamente solo recibimos SMS publicitarios, o como decía, de alertas de una serie de compañías que siguen aún utilizando este canal como sistema más directo de comunicación con sus clientes.

Me ha parecido interesante contextualizar el estado del arte en materia de SMS ya que desde nuestra posición privilegiada como usuarios avanzados de tecnología, y para colmo interesados en los devenires de la seguridad informática, es fácil caer en el error de desprestigiar el SMS como vector de ataque.

A fin de cuentas hablamos de un canal tan antiguo y tan denostado… que parece poco probable que alguien acabe siendo engañado por ahí.

Pero nada más lejos de la realidad.

El que sean precisamente esas compañías que los cibercriminales utilizan de gancho las que siguen empeñadas en informarnos por ahí, unido a que en EEUU el SMS sigue siendo un canal principal de comunicación, hace que en efecto dichas campañas funcionen.

Y que año tras año sigamos viendo las mismas campañas una y otra vez.

Un problema que tiene poca solución… hasta que en efecto la industria se ponga de acuerdo como hizo con la web abierta o con los protocolos de emails para estandarizar un sistema que legitime (aunque sea indirectamente) la identidad del emisor.

La tecnología está ahí.

Solo hacen falta ganas… y compromiso.

________

Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».

Banner negocios seguros