¿Sabías que, en promedio, 6 mil millones de mensajes SMS se envían todos los días solo en los EE. UU.?

Eso es 180 mil millones cada mes y 2,27 billones cada año. A nivel mundial, 4.2 mil millones de personas envían mensajes de texto en todo el mundo. Sin duda, usted es uno de ellos, lo que significa que envía aproximadamente 67 mensajes de texto al día. Eso es un montón de «LOL».

Cuando envía todos esos mensajes de texto, probablemente asume que usted y sus destinatarios son los únicos al tanto de la información que contiene. Ahí es donde te equivocarías.

evitar sms

La verdad es que los mensajes de texto no son seguros y esa inseguridad lo expone a usted, a sus amigos, a su familia y a su empresa a riesgos. Y ni siquiera es culpa tuya;

Los servicios de mensajería de texto predeterminados que muchos de nosotros usamos son antiguos y vulnerables a diferentes escenarios de ataque. Si bien los operadores están en camino de actualizarlo, es posible que sea muy poco, demasiado tarde.

Pero antes de que pueda entender por qué debería gastar más energía en practicar mensajes de texto seguros, puede ser útil comprender cómo funciona todo el sistema en primer lugar. Aquí está el desglose.

¿Qué son los SMS?

Si envía un mensaje de texto, generalmente envía un «SMS», que significa Servicio de mensajes cortos. Es el servicio de mensajería de texto más antiguo y uno de los más utilizados en la actualidad.

Incluye MMS (Servicio de mensajería multimedia) que permite a los usuarios de SMS enviar contenido multimedia como imágenes, audio y archivos visuales.

Tanto los SMS como los MMS se envían a través de redes celulares y, por lo tanto, requieren un plan inalámbrico y un proveedor de servicios inalámbricos.

Si envía un mensaje de «texto» tradicional en su teléfono, se considera un SMS. Cuando envías ese gif, acabas de enviar un MMS.

¿Cómo funcionan los SMS?

Cuando envía un mensaje de texto, primero va a una torre celular cercana a través de un camino llamado canal de control, y luego a un centro de SMS (SMSC). El SMSC reenvía ese mensaje a la torre más cercana al destinatario y luego va a su teléfono.

SMS también envía datos asociados con el mensaje, incluida la longitud del mensaje, el formato, la marca de tiempo y el destino.

De los 109 mensajes de texto que envié ayer, por ejemplo, 15 de ellos fueron mensajes SMS enviados a personas que tienen teléfonos en otros operadores, 70 se enviaron a través de iMessage y el resto se enviaron a través de aplicaciones OTT.

¿Qué son las aplicaciones OTT?

WhatsApp, iMessage, Facebook Messenger, WeChat y otras aplicaciones de mensajería se agrupan como aplicaciones OTT y también se consideran servicios de mensajes de texto. OTT significa «Over the Top»; como grupo, estas aplicaciones son diferentes a los servicios de SMS porque utilizan protocolos de Internet (IP) en lugar de redes móviles para transmitir mensajes.

Esto significa que estos mensajes se envían a través de una conexión a Internet (también conocida como WiFi) o mediante una conexión a Internet móvil.

¿Cómo funcionan las aplicaciones OTT?

Las aplicaciones OTT funcionan de una manera diferente a los SMS porque envían mensajes encriptados a los que solo usted y la persona que recibe su mensaje pueden acceder. Eso significa que el servicio de mensajería no sabe lo que está enviando, ni nadie más que pueda interceptar ese tráfico web.

Por ejemplo, WeChat utiliza el protocolo extensible de mensajería y presencia (XMPP) para intercambiar datos entre los usuarios. Este protocolo está descentralizado y, como resultado, se considera seguro y flexible. La empresa también utiliza cifrado SSL / TSL. Todo esto está destinado a garantizar que otras personas no vean sus mensajes.

Los pros y los contras de los SMS frente a los OTT

Al considerar los servicios de mensajería, las personas a menudo tienen que elegir entre enviar por SMS o enviar a través de un servicio OTT. Si ha viajado mucho fuera de los EE. UU., Probablemente haya notado que las personas en muchos otros países prefieren WhatsApp a los mensajes de texto.

Los SMS son el medio de mensajería más ubicuo, pero menos seguro. Las aplicaciones OTT requieren que uses la misma plataforma que la persona a la que estás enviando mensajes, lo que puede resultar molesto. Tal vez sus amigos no quieran descargar otra aplicación solo para enviar mensajes de texto, pero continuar usando SMS podría ponerlo en riesgo porque no tiene cifrado de extremo a extremo.

Texto, fuente, línea,

Colin McSherry

La próxima evolución: servicios de comunicación enriquecidos (RCS)

A medida que las aplicaciones OTT canibalizan el mercado de SMS, los operadores se han visto incentivados para mejorar los servicios de SMS en forma de Rich Communication Services (RCS).

En teoría, RCS combina las mejores características de las aplicaciones OTT en un protocolo que es universal para todos los operadores y dispositivos. Este nuevo protocolo reemplazará a los SMS y ha sido un trabajo en progreso durante más de una década.

Aprobado por el GSMA en 2008, RCS se adoptó por completo en 2016. Desde entonces, el perfil universal de RCS se ha lanzado con un fuerte soporte y servicios de back-end de Google (que adquirió Jibe) con el objetivo de proporcionar servicios de mensajería interoperables consistentes en todos los dispositivos y redes.

Esto no solo ayuda a crear un estándar global, sino que también mejora la capacidad de Android, que es notoriamente más vulnerable a los ataques. Como Dan Wood de Obispo Fox señaló en una entrevista, «Se realiza una gran cantidad de suplantación de identidad (phishing) de SMS contra las plataformas Android».

RCS tiene la capacidad de:

  • Integre con aplicaciones de contacto para ver quién apoya el servicio.
  • Crea chats grupales.
  • Envía mensajes de video y audio.
  • Envíe imágenes de alta resolución de hasta 10 MB de tamaño.
  • Comparte ubicacion.
  • Reciba recibos de lectura.
  • Vea cuándo las personas responden en tiempo real.
  • Por defecto a SMS o MMS cuando el destinatario no es compatible con RCS.
  • Vea actualizaciones en vivo sobre los próximos viajes y tarjetas de embarque.

Sin embargo, aunque RCS no tiene cifrado de extremo a extremo, tiene los protocolos de seguridad estándar de Transport Layer Security e IPsec.

RCS no usa conexión celular, sino que se basa en una conexión de datos y es independiente del hardware y de la plataforma. Sprint, US Cellular y Google Fi han implementado RCS completamente en sus redes y todos los dispositivos. Otras redes lo están implementando en dispositivos específicos con planes más amplios de implementarse hasta 2020. Y, en el futuro, todos los dispositivos deberían admitir esta función de forma inmediata.

Tipografía del texto,

Colin McSherry

En resumen, RCS es un intento de los operadores de garantizar el uso continuo de los servicios de mensajería listos para usar y los planes de datos conectados que acompañan a dicho uso. Sin embargo, no mejora la seguridad general de la información compartida.

¿Por qué debería importarme si mis textos son seguros?

Con la reciente controversia sobre los mensajes de texto fantasma, la gente ha comenzado a cuestionar cuán seguros son los mensajes de texto. La respuesta simple: no mucho.

Recuerde: los mensajes de texto se envían en un proceso de varios pasos. Si bien su mensaje puede estar encriptado desde su teléfono a la primera torre celular, no está encriptado después de eso. Y su SMSC puede conservar el mensaje incluso si tanto el remitente como el destinatario lo eliminan. Siempre que un mensaje está encriptado, el servicio móvil, los piratas informáticos o los gobiernos pueden leerlo.

“Debido a la falta de cifrado, los piratas informáticos pueden buscar puntos débiles en cualquier lugar de la ruta virtual entre el remitente y el receptor, que incluye una tonelada de diferentes dispositivos de red y sistemas informáticos en muchos proveedores diferentes, solo uno de los cuales debe explotarse a través de vulnerabilidad técnica, mala configuración, ingeniería social o ataque interno ”, dice Christopher Howell, CTO de Wickr.

“Debido a que los mensajes se almacenan en estos sistemas más tiempo del necesario”, continúa Howell, “aumenta la ventana de vulnerabilidad a través de la cual el hacker puede atacar. En lugar de tener que defender un sistema durante unos segundos para evitar que un pirata informático robe un mensaje, debe estar protegido durante días, semanas, meses. Estas probabilidades favorecen al hacker «.

Es poco probable que esté usando su teléfono celular para enviar mensajes de texto sobre códigos de lanzamiento militar, asuntos gubernamentales de alto secreto o cualquier otra cosa que sea de mucha utilidad para el hacker promedio

. Pero, ¿qué pasa con un intercambio de mensajes de texto sobre la decisión de un amigo de dejar a su cónyuge, el susto de cáncer de su jefe o la decisión de su hermana pequeña de cambiar de trabajo? ¿Le gustaría que esa información se difunda en otro lugar? ¿Qué pasa con la información sobre sus hijos, sus mascotas o una selfie desnuda que podría ayudar a alguien a rastrear dónde está, adivinar sus contraseñas o encontrar el tatuaje en su muslo izquierdo que también es la contraseña de su cuenta bancaria?

No siempre se trata de proteger grandes secretos, se trata de garantizar la privacidad personal de todos los involucrados.

¿Por qué debería preocuparme por la seguridad de los SMS en general?

Hay varias formas en que los actores malintencionados (gobiernos, terroristas, etc.) pueden piratear los sistemas de SMS y utilizarlos para su propio beneficio.

Los gobiernos están pirateando mediante SMS. Los piratas informáticos chinos hicieron esto recientemente cuando desarrollaron malware para robar mensajes SMS.

El malware utilizado una lista de palabras clave de términos que eran de interés geopolítico para la recopilación de inteligencia china y luego relacionó esos términos con números de teléfono que luego rastrearon.

El grupo responsable de esto (APT41) también interactuó con registros de detalles de llamadas y rastreó a individuos de alto rango que eran de interés para la inteligencia china.

«Hay errores ‘0day’ en el mercado que pueden acceder de forma remota a su teléfono sin que tenga que hacer clic en ningún tipo de enlace o hacer nada en absoluto», dice Ben Lamm, director ejecutivo de Hipergigante. “De hecho, este mercado está creciendo al igual que todas las amenazas a los sistemas vulnerables. El secreto aquí es que todos debemos centrarnos más en la seguridad, en protegernos de la vulnerabilidad y en comprender que una persona insegura puede comprometer a todo el grupo «.

Tomemos, por ejemplo, la autenticación de dos factores, que generalmente consideramos segura. Si ese segundo factor de autenticación es a través de un servicio de SMS, podría ser interceptado, lo que significa que el sistema que pensaba que era seguro ahora podría estar comprometido. Esto es importante si, por ejemplo, usa la autenticación de dos factores para proteger su cuenta bancaria, correo electrónico corporativo o perfil de citas.

La gente común también está pirateando y siendo pirateada mediante SMS.

«Los hackeos de mensajes de texto están ocurriendo en todas partes, desde estudiantes de secundaria que piratean a sus enemigos para robar sus fotografías hasta ataques a nivel nacional», dice Georgia Weidman, fundadora de Shevirah Inc. y un Becario de Política de Ciberseguridad de New America.

¿Qué aplicaciones ofrecen cifrado de extremo a extremo?

Dada la propensión y la variedad de ataques, tiene sentido considerar servicios alternativos que ofrezcan cifrado de extremo a extremo. Las aplicaciones seguras populares incluyen:

    • FaceTime de Apple
    • IMessages de Apple
    • Señal
    • Wickr
    • Cable
    • Whatsapp

“Un atacante puede enviar un mensaje de texto para incitar a un usuario a iniciar sesión en su banco o descargar una aplicación maliciosa. Muchos usuarios están recibiendo capacitación en conciencia de seguridad para desconfiar de la suplantación de identidad (phishing) a través del correo electrónico, pero esa educación a menudo falta en torno a los vectores de ataque basados ​​en dispositivos móviles, como los mensajes de texto o WhatsApp ”, dice Weidman.

“Además, los programas de mensajería de texto de nuestros teléfonos son simplemente un software como cualquier otro y, por lo tanto, son propensos a vulnerabilidades de seguridad. Ha habido casos en el pasado en los que un atacante podía enviar un mensaje de texto con formato incorrecto a un dispositivo y obtener el control del dispositivo «.

La verdad es que todos debemos usar una dosis extra de sentido común.

«Tenga la misma precaución cuando responda a los mensajes de texto SMS como si fuera un correo electrónico sospechoso», dice Kristin Kozinski de No hagas clic en eso.

“Al evaluar un mensaje, considere la fuente del mensaje. Si no reconoce el número, confirme el contexto del mensaje en otro lugar. Por ejemplo, si su banco le envía un mensaje de texto, llame al número de atención al cliente para verificar el mensaje que recibió. Tenga cuidado con cualquier enlace en el mensaje de texto.

Este es un medio principal para distribuir URL maliciosas. Finalmente, si el texto suena demasiado bueno para ser verdad, probablemente lo sea «. Kristina Libby
Kristina Libby es profesora en NYU, presentadora del próximo podcast de ciberguerra Threat Matrix, y consultora, autora e innovadora en tecnología emergente.

Este contenido es creado y mantenido por un tercero y se importa a esta página para ayudar a los usuarios a proporcionar sus direcciones de correo electrónico. Es posible que pueda encontrar más información sobre este y contenido similar en piano.io

Deja un comentario

Tu dirección de correo electrónico no será publicada.