Guía de SMS Pumping: Descubre cómo actuar ante fraudes por SMS.

Table of contents

En años recientes, las empresas han estado sujetas a una fuerte presión para expandir sus estrategias de comunicación hacia los SMS, el canal preferido por los usuarios para relacionarse con los negocios. Al mismo tiempo, los delincuentes cibernéticos descubren nuevas maneras de sacarle provecho a las vulnerabilidades de ese servicio.

La mayoría de las personas han recibido mensajes de texto fraudulentos a través de sus dispositivos móviles. Aunque se han publicado recursos a fin de protegerlas de esos delitos, no han sido suficientes para evitar que los destinatarios finales sean víctimas de los nuevos tipos de fraude que afectan principalmente a las empresas.

Hoy en día, los estafadores han encontrado formas de obtener pagos superiores, atacando a las empresas en lugar de a las personas. La única manera de reducir el riesgo es que los proveedores implementen soluciones dirigidas a prevenir el fraude.

Con el fuerte aumento de los ataques a gran escala, comprender cómo funcionan los esquemas comunes de fraude por SMS y las estrategias para combatirlos son piezas fundamentales que necesitan las empresas antes de que se produzca un ataque.

SMS Pumping es un nuevo tipo de fraude que ha dominado los titulares recientes. Es difícil de detectar antes de que se presenten las consecuencias y puede ser muy costoso. Esta es una guía para comprender y tomar medidas proactivas contra los esquemas de SMS Pumping.

Hay innumerables formas en que los estafadores pueden beneficiarse de las interacciones móviles ingeniosas. Algunos ejemplos de fraude son la ingeniería social, la apropiación de cuentas (ATO), el fraude de intercambio de SIM, los ataques de intermediarios, el phishing, el smishing, el vishing, los pretextos, la difusión de contraseñas y el uso de credenciales.

Independientemente de cómo lo hagan, las empresas no asumen por sí mismas la prevención de esas acciones. Los emisores de las comunicaciones móviles tienen la responsabilidad de pagar por el tráfico generado, incluso si es fraudulento.

Dada esta situación, deben trabajar en conjunto con sus socios para protegerse. Un informe de Clud Mark: «El costo real del spam de SMS: un estudio de caso», sugiere que el costo verdadero para un operador de red o empresa móvil podría elevarse como consecuencia del fraude de SMS.

En el caso del operador de telefonía móvil (MNO), debe pagar un enorme precio por volúmenes, mientras más mensajes fraudulentos se envían en comparación con la otra parte, lo que termina alterando las tarifas. Si el número se agranda, es necesario que tanto él como las empresas, mejoren su infraestructura y personal, para enfrentar tal situación.

Los emisores de comunicaciones móviles están obligados a pagar a los operadores por cualquier tráfico que produzcan, incluso si es fraudulento.

Detener el fraude por SMS es una herramienta de educación y prevención a partes iguales. El fraude por SMS es generalmente coordinado por un grupo sofisticado que envía numerosas solicitudes de autenticación o contraseña de un solo uso, para un formulario en línea o aplicación web.

Este esquema de fraude requiere planificación previa, trabajo y la cooperación de un proveedor. Para configurarlo, una organización ciberdelincuente se acercará a un proveedor con una propuesta para generar grandes volúmenes de mensajes, ingresos y márgenes con números pertenecientes a ese proveedor.

Dependiendo de la capacidad del estafador y su cómplice, el gran volumen de SMS es enviado a un destino lejano, incrementando de esa forma el costo del ataque. Una vez que la empresa afectada paga la factura inflada, ambos socios se reparten las ganancias.

Esta actividad es muy riesgosa para que los grandes proveedores. Está en juego la reputación e integridad del tráfico, lo cual es fundamental para ellos.

Lamentablemente, pocas personas se dan cuenta de que la entidad a la que pagan para atraer nuevos usuarios casi nunca es la que gestiona el tráfico. Las redes compran tráfico entre sí en una serie de rutas, con el fin de obtener una mejor conectividad para todos. Sin embargo, eso contribuye a que los estafadores aprovechen la oportunidad para cometer actividades fraudulentas.

Este ejemplo quizás te ayude a verlo con mayor claridad. Supongamos que tienes un negocio minorista en el que vendes productos por suscripción. Al visitar el sitio web, aparece una ventana emergente que le solicita al consumidor colocar su número telefónico, a cambio de un 15% de descuento en el primer paquete de suscripción de seis meses del consumidor.

Todo lo que el cliente debe hacer es proporcionar un número de teléfono móvil y recibir un mensaje de texto en su dispositivo con un código de descuento. La empresa espera que optar por los mensajes de texto les ayude a promocionar más productos y aumentar el LTV de sus clientes y, por supuesto, que los mensajes de texto lleguen a compradores realmente interesados.

Este tipo de sitio es un objetivo para SMS pumping. Un negocio de cuidado del cabello paga una factura a un proveedor por los mensajes que envía desde los números recopilados en su sitio web. Es posible que el estafador utilice bots para acceder a la información del formulario de promoción y enrute los SMS a destinos de alto costo. La empresa podría pensar que está a punto de obtener clientes, pero es víctima de SMS pumping.

Detrás de escena, los mensajes tanto genuinos como fraudulentos pueden pasar de una red a otra varias veces antes de llegar al punto final previsto. Es decir, a la persona o el bot que recibe el código de promoción a través de SMS. Una de esas redes soborna al estafador, pero no hay forma de que la empresa o el proveedor inicial sepan quién tiene la culpa. En algunos casos, el esquema de fraude será conocido solo por un pequeño número de personas dentro de una organización de red, lo que hace que la fuente cómplice sea aún más difícil de identificar.

Habitualmente, los ciberdelincuentes envían los SMS a los sitios protegidos por contraseñas de un solo uso para intentos de inicio de sesión y convierten una medida de seguridad en una responsabilidad costosa. Para beneficiarse del envío de SMS de un inicio de sesión protegido por contraseñas de un sólo uso, un ciberdelincuente obtendrá en un bloque de inicios de sesión datos como: nombres de usuario, números y contraseñas.

Intentarán rápidamente un gran volumen de inicios de sesión en el sitio web o la aplicación de su objetivo. La empresa que implemente la OTP pagará una factura enorme por las contraseñas entregadas a partir de estos intentos de inicio de sesión fraudulentos y verá un aumento en los inicios de sesión incompletos. El tráfico OTP fraudulento podría haberse enrutado a países de SMS de alto costo, lo que resulta en una factura más alta.

Al contrario del smishing, que roba información privada a los usuarios, SMS pumping busca ganancias. Este tipo de fraude no se detecta de inmediato, sino después de un tiempo, cuando las empresas observan irregularidades en sus facturas al compararlas con el rendimiento comercial proyectado de su volumen de SMS.

Detecta y evita el fraude por SMS siguiendo estos pasos:

• Monitorea los volúmenes de inicios de sesión incompletos para contraseñas de un sólo uso y SMS.
• Busca entradas con patrones numéricos contiguos de rápida sucesión y notifica cualquier irregularidad al proveedor de tráfico. Si estás siendo víctima de bombeo de SMS, lo más seguro es que veas un bloque de números móviles secuenciales. Por ejemplo:(+99999999990,
• +9999999999, +99999999992). controlado por un software bandido.
• Informa cuanto antes cualquier aumento inusual en el tráfico e investiga de dónde proviene.
• Fija un límite de volumen y alertas en los formularios de recogida de datos móviles e inicios de sesión.
• Establece un tope de frecuencia en el campo de entrada del formulario web OTP. Eso evitará que se envíe más de un mensaje en un tiempo determinado al mismo número o código de país.
• Aplica tarifas por usuario de la Interfaz de API o dirección IP.
• Elabora un listado de elementos permitidos o bloqueados por tu sistema, de acuerdo con la codificación de país. Aquí podrás ver una lista de códigos.
• Modifica la experiencia de usuario de OTP utilizando CAPTCHAS u otros servicios para detectar y disuadir a los bots. Si esto afecta negativamente la adquisición, puedes probar algunos de estos 7 métodos simples de detección de bots que no molestarán a los usuarios.

La industria de las comunicaciones móviles es un objetivo para los delincuentes oportunistas, y sus estafas avanzan tan rápido como la propia industria. En los últimos años, la comunicación móvil desempeñó un papel fundamental en el avance de la seguridad y la eficiencia, especialmente porque COVID-19 requirió diversas adaptaciones. Sin embargo, esas innovaciones han mostrado vulnerabilidades que se están explotando activamente.

Con 28 años de experiencia y una reputación envidiable, Soprano Design lidera el sector de la Plataforma de Comunicaciones como Servicios (CPaaS). Atendemos las necesidades de interacción de nuestros clientes, mediante la entrega confiable de mensajes con propósitos comerciales críticos, como mejorar la salud de los ciudadanos y responder a emergencias, por nombrar algunos.

Los servicios implementados incluyen atención médica en el Reino Unido, así como mejoras en materia de seguridad energética y minera. De allí que Soprano sea la primera opción para las empresas que requieren un mayor nivel de protección de sus sistemas interconectados, además de seguridad corporativa. En Soprano Connect protegemos tanto a nuestros usuarios como a los destinatarios finales de sus mensajes, a través del conjunto de herramientas que ponemos a su disposición.

Hemos lanzado una nueva característica de Detección y Prevención de Fraudes (API)

La nueva API es capaz de detectar y mostrar los números móviles presuntamente fraudulentos, por lo que los usuarios pueden empezar a filtrarlos y configurar otros parámetros de seguridad. Soprano Connect asigna valores a los tres indicadores de riesgo: intercambio de SIM, desvío de llamadas y red de confianza.

A esas comprobaciones de fraude se les añade una ponderación, determinada por la suma de los tres valores mencionados, que debe ser igual a 100. Los usuarios tienen la libertad de escoger cuáles tipos de fraude verificar. Cuando se compra esta licencia, los usuarios pueden (junto con HTTP API y Connect API SMS) decidir si enviar SMS o no en función de un umbral de riesgo predeterminado configurado dentro de la plataforma.

Con esta función implementada, quienesenvían mensajes confidenciales, como contraseñas de un solo uso, pueden retener mensajes de números o dispositivos fraudulentos.

El fraude por SMS es un problema cada vez más generalizado en las comunicaciones móviles. Las empresas tienen la responsabilidad de protegerse a sí mismas y a sus audiencias. Con nuestra API del Servicio de detección y prevención de fraudes, Soprano ofrece protección al cliente y defensa proactiva para los destinatarios de sus mensajes.

¿Listo para obtener más información sobre cómo proteger su comunicación móvil?