El Servicio de Mensajes Cortos (SMS), también conocido simplemente como mensajería de texto, ha estado con nosotros desde el nacimiento de los teléfonos móviles (el primer mensaje de texto se envió a través de la red de Vodafone en 1992). 

Los SMS son compatibles con casi todos los proveedores de redes móviles del mundo, con más de dos billones de mensajes SMS enviados durante 2020 solo en los Estados Unidos. De hecho, Estados Unidos sigue siendo un bastión del uso de SMS, contrarrestando la creciente tendencia en otros países de utilizar alternativas basadas en Internet como WhatsApp y Telegram.

La gran ventaja de los SMS es que es universal: está en los teléfonos de todos, lo que le permite enviar mensajes de texto a cualquier persona, independientemente de si usan un iPhone o un teléfono Android, o si usan una de las muchas aplicaciones de mensajería de terceros de la competencia.

Sin embargo, al igual que el correo electrónico, el SMS se desarrolló antes de que se considerara la necesidad de garantizar que las comunicaciones fueran seguras y privadas. El resultado es que los mensajes SMS son un libro abierto, fácil de leer por su proveedor de servicios móviles, su gobierno y los piratas informáticos criminales.

Esto es aún más aterrador por el hecho de que los códigos de autenticación de dos factores (2FA) se envían rutinariamente a través de SMS…

Sin privacidad de tu proveedor de servicios móviles

Los mensajes SMS no están encriptados de ninguna manera, por lo que tu proveedor de servicios móviles puede leer todos los mensajes que envías y recibes. También pueden entregar esta información a terceros.

En los Estados Unidos, por ejemplo, la Ley de privacidad de las comunicaciones electrónicas permite a la policía acceder libremente a los mensajes SMS que tengan más de 180 días. Para acceder a los mensajes SMS enviados hace más de 180 días, se requiere una orden judicial. 

El problema con SS7

“Los piratas informáticos pueden explotar las fallas de SS7 para rastrear a los estadounidenses, interceptar sus llamadas y mensajes de texto y piratear sus teléfonos para robar información financiera, saber cuándo están en casa o fuera y, de lo contrario, aprovecharse de los consumidores desprevenidos. Además, según múltiples informes de noticias, los productos de espionaje SS7 están ampliamente disponibles tanto para gobiernos criminales como extranjeros”.

El senador Ron Wyden (D-Ore.) en 2018 después de recibir una carta del Departamento de Seguridad Nacional advirtiendo que «actores nefastos pueden haber explotado» las redes celulares globales «para apuntar a las comunicaciones de los ciudadanos estadounidenses».

Signaling System No. 7 (SS7) es un conjunto de protocolos de señalización de telefonía que sustentan las redes de telefonía móvil en todo el mundo. Permite que las redes telefónicas se comuniquen entre sí para conectar a los usuarios y pasar mensajes entre redes, garantizar la facturación correcta y permite a los usuarios moverse en otras redes. También se utiliza para facilitar la mensajería SMS.

Una gran cantidad de tecnologías obsoletas que se remontan a la década de 1970, mucho antes de que se le ocurriera a nadie incorporar medidas de seguridad, se sabe que SS7 es muy inseguro desde al menos 2008. Pero a pesar de una serie de ejemplos de muy alto perfil de cuán peligrosa es la situación, aún no se ha hecho nada para mejorar la seguridad de SS7.

  • En 2014, los piratas informáticos utilizaron SS7 para grabar una conversación confidencial entre el embajador de EE. UU. en Ucrania, Geoffrey Pyatt, y la subsecretaria de Estado de EE. UU., Victoria Nuland, en la que Pyatt fue muy crítico con la UE.
  • En 2016, un investigador de seguridad mostró cómo los piratas informáticos con acceso a la red SS7 pueden falsificar las identidades de los usuarios para acceder a los mensajes que pertenecen a los usuarios de muchas aplicaciones de mensajería que dependen de los números de teléfono para la autenticación.
  • En 2017, el congresista estadounidense Ted Lieu solicitó una investigación del comité de supervisión sobre SS7 con el argumento de que era un riesgo para la seguridad nacional. La FCC llevó a cabo una investigación, pero el grupo de trabajo encargado del trabajo estaba compuesto principalmente por cabilderos de la industria de las telecomunicaciones y ni un solo experto académico.
  • También en 2017, se informó que los piratas informáticos estaban usando SS7 para interceptar códigos 2FA enviados por SMS para proteger cuentas bancarias, lo que resultó en el vaciado de cuentas bancarias del mundo real.
  • En 2020, Arabia Saudita fue acusada de explotar la red SS7 para operar una campaña de espionaje sistemático en los Estados Unidos.

Y estos casos son solo la punta del iceberg . Una de las explicaciones más creíbles de por qué se permite que continúe este estado de cosas es que los gobiernos y las fuerzas del orden de todo el mundo consideran que la gran cantidad de información personal disponible a través de la red SS7 es demasiado valiosa para querer un cambio real.

Obviamente, los problemas con SS7 son mucho más profundos que simplemente permitir que los gobiernos, los piratas informáticos y quién sabe quién más tengan acceso sin restricciones a todos los mensajes SMS del planeta. Pero es un problema.

Cuidado con los ataques de intercambio de SIM

Los proveedores de redes móviles pueden transferir sin problemas números de teléfono de una tarjeta SIM a otra. Esto les permite ayudar a los clientes cuyos teléfonos han sido robados y les permite cambiar de proveedor de red. 

Un ataque de intercambio de SIM permite a los piratas informáticos explotar este proceso para que el número de teléfono de la víctima se transfiera de manera fraudulenta a su propia tarjeta SIM. Esto generalmente se logra mediante el uso de ingeniería social para engañar al operador móvil haciéndole creer que el pirata informático es el cliente real, o mediante empleados corruptos de la red móvil. 

El mayor peligro del intercambio de SIM es que permite a los piratas informáticos interceptar códigos 2FA enviados por mensaje de texto a su número de teléfono.

Esto se ha convertido en un problema cada vez más preocupante, lo que llevó recientemente al FBI de los Estados Unidos a emitir un anuncio de servicio público advirtiendo que los ataques de intercambio de SIM se han multiplicado por 15 en los últimos dos años, lo que ha resultado en pérdidas ajustadas en los EE. UU. de más de $ 68 millones en 2021.

También vale la pena señalar que, debido a que los mensajes SMS no están encriptados de ninguna manera, cualquier malware instalado en su teléfono tendrá acceso completo a ellos

¿Son iMessage y RCS mejores soluciones?

iMessage es el intento de Apple de reemplazar los SMS con una alternativa segura, moderna y basada en Internet. Utiliza encriptación de extremo a extremo, pero solo cuando los mensajes se envían a otros usuarios de Apple. Cabe señalar que no hay ninguna razón técnica por la que iMessage no pueda lanzarse también en Android; el hecho de que no lo sea es una decisión puramente de marketing de Apple. 

Dado que Android tiene una cuota de mercado de sistemas operativos móviles de más del 70 % en todo el mundo, este es un problema grave, lo que hace que iMessage sea ignorado en gran medida en la mayor parte del mundo a favor de alternativas independientes de la plataforma.

En los Estados Unidos, donde los iPhone representan más del 50% del mercado , iMessage sigue siendo más relevante, pero aún significa que los mensajes de texto para casi la mitad de la población no son más seguros que los que se envían a través de SMS regulares.

Es importante destacar que para un servicio que espera reemplazar a los SMS, los códigos 2FA se envían invariablemente a través de SMS regulares y, por lo tanto, no están protegidos por el cifrado de iMessage. Además de esto, de manera predeterminada, los iMessages se respaldan en iCloud sin encriptación de extremo a extremo, lo que significa que, de manera predeterminada, Apple puede acceder a sus mensajes de texto, independientemente de si se envían mediante E2EE. 

Dicho todo esto, si todos sus contactos tienen iPhones y si deshabilita las copias de seguridad de iCloud, iMessage es, sin duda, una mejora con respecto a los SMS. 

Rich Communication Services (RCS) es un protocolo de comunicación abierto que ofrece la mayoría de las ventajas de iMessage, incluida la compatibilidad con multimedia, grupos persistentes, uso compartido de gran cantidad de multimedia y más.

No es un protocolo de Google, pero Google ahora implementa RCS en la aplicación Mensajes de Android. Aunque no está cifrado de extremo a extremo de forma predeterminada, Google ha desarrollado una extensión que proporciona E2EE cuando se usa RCS. 

Google ha pedido a Apple que incorpore el estándar en iMessage para que todos puedan beneficiarse de una plataforma de mensajería más segura, pero Apple se ha negado a considerar tal medida .

Esto deja a RCS en una posición similar a la de iMessage, donde su potencial para mejorar la situación de los SMS se ve obstaculizado por su falta de compatibilidad entre plataformas.

SMS alternativos seguros

En la mayor parte del mundo, las aplicaciones de mensajería de terceros basadas en Internet, como Threema, WhatsApp, Signal, Telegram e incluso Facebook Messenger, están reemplazando cada vez más a los SMS.

Estas aplicaciones tienen la ventaja de permitirle enviar mensajes de texto a contactos en diferentes plataformas, todas son mucho más seguras que los SMS y muchas usan un cifrado fuerte de extremo a extremo.

Aunque es popular, WhatsApp no ​​es una gran opción cuando se trata de privacidad porque, aunque usa E2EE, permite que Facebook recopile y abuse de sus metadatos: con quién está hablando, desde dónde, a qué hora, con qué frecuencia y de qué dispositivo.

No es culpa de estas aplicaciones, pero tampoco hacen nada para protegerte cuando las empresas envían tus códigos 2FA a través de SMS regulares. Tu mejor defensa contra esto es usar una aplicación de autenticación 2FA como Authy , Google Authenticator o andOTP o FreeOTP de código abierto en lugar de 2FA basado en SMS siempre que sea posible. Desafortunadamente, esta opción a menudo no está disponible.