Los mensajes de texto SMS estándar no son muy privados ni seguros. Los SMS son como el fax: un estándar antiguo y obsoleto que se niega a desaparecer.
Con los SMS, los mensajes que envía no están encriptados de un extremo a otro. Su proveedor de telefonía celular puede ver el contenido de los mensajes que envía y recibe. Esos mensajes se almacenan en los sistemas de su proveedor de telefonía celular, por lo que, en lugar de que una empresa de tecnología como Facebook vea sus mensajes, su proveedor de telefonía celular puede ver sus mensajes.
Los operadores de telefonía celular almacenan el contenido de esos mensajes durante varios períodos de tiempo . Los mensajes a menudo solo se conservan durante varios días, pero almacenan metadatos (qué número envió un mensaje a qué número y a qué hora) durante más tiempo. Estos registros podrían estar sujetos a una citación en procedimientos legales; por ejemplo, los registros de mensajes de texto son una forma común de evidencia en los casos de divorcio.
Compare esto con una aplicación de chat encriptada de extremo a extremo como Signal . Signal no tiene el contenido de sus comunicaciones. Signal ni siquiera sabe con quién está hablando. Los datos de su conversación solo se almacenan en su dispositivo y en el dispositivo de la persona con la que está hablando, eso es todo.
Aparte de eso, ¿debería confiar sus conversaciones a su proveedor de telefonía móvil? Bueno, en 2019, se reveló que AT&T, Sprint y T-Mobile estaban vendiendo datos de ubicación de clientes a agregadores. Fue utilizado por todos, desde fiadores de fianzas hasta cazarrecompensas deshonestos. (Después de que esto se informó en las noticias, los operadores de telefonía celular prometieron detenerse).
Los mensajes SMS pueden ser interceptados por delincuentes
Pero los mensajes SMS se utilizan por motivos de seguridad, ¿verdad? Hay una razón por la que todos los bancos e instituciones financieras confían en los mensajes SMS para verificar su identidad, ¿verdad?
Bueno, sí, hay una razón. Pero esa razón no se debe a la seguridad. Es solo que todos tienen un número de teléfono. Requerir confirmación por SMS agrega algo de seguridad adicional. Incluso si SMS no es particularmente seguro, al menos asegura que un atacante tenga que interceptar un mensaje SMS además de ingresar su contraseña.
Los mensajes SMS se pueden interceptar. Las redes de telefonía móvil de todo el mundo están conectadas entre sí a través del protocolo Signalling System No 7 (SS7). Así es como tu teléfono puede conectarse a una red celular y hacer y recibir llamadas, incluso cuando estás en otro país del otro lado del mundo.
El sistema SS7 ha sido atacado repetidamente por piratas informáticos que espiaron mensajes SMS o los interceptaron. Esto es particularmente útil cuando se comprometen cuentas bancarias, por ejemplo: los atacantes pueden espiar los códigos de verificación que generalmente se envían por SMS, usarlos para acceder a cuentas bancarias y drenarlas.
Es por eso que los profesionales de la seguridad han recomendado no usar SMS para la autenticación de dos factores . Una aplicación que genera códigos en su dispositivo o una clave de seguridad física es mucho más a prueba de balas. (Sin embargo, si SMS es la única opción que tiene disponible, SMS es mejor que nada ).
Los mensajes SMS pueden ser monitoreados por las autoridades
Los gobiernos de todo el mundo tienen acceso a " mantarrayas ", dispositivos que esencialmente se hacen pasar por una torre celular. Cuando se colocan cerca de su ubicación física, estos engañan a su teléfono para que se conecte a ellos (como su teléfono se conectaría a una torre celular normal). El dispositivo Stingray puede rastrear sus movimientos y ver sus mensajes de texto SMS, al igual que su operador de telefonía celular.
Más allá de la supervisión local, los mensajes SMS también se pueden incluir en sistemas de vigilancia más grandes. Según documentos publicados por Edward Snowden en 2014 , la NSA recopilaba en ese momento más de 200 millones de mensajes de texto al día de todo el mundo.
Los servicios de inteligencia de otros países también tienen acceso a mantarrayas y tecnología de monitoreo de SMS, por lo que está claro por qué las aplicaciones de comunicación encriptadas como Signal y Telegram son especialmente populares entre los activistas que viven bajo regímenes represivos. Por ejemplo, Telegram y Signal están prohibidos en Irán .
Su número de teléfono es sorprendentemente fácil de secuestrar
Más allá de los SMS, los números de teléfono en realidad tienen muy poca seguridad, a nivel de operador. Un estafador puede llamar a su proveedor de telefonía celular o ir a una tienda y hacerse pasar por usted. Si el estafador tiene suficientes detalles y puede engañar a los representantes de servicio al cliente de su proveedor, ellos pueden controlar su número de teléfono. Es posible que el operador "transfiera" su número de teléfono a un proveedor de telefonía celular diferente, tal como lo haría si se cambiara a otro proveedor de telefonía celular. O pueden hacer que el proveedor emita una nueva tarjeta SIM vinculada a su número de teléfono y desactive su tarjeta SIM existente, eliminando el acceso a su número de teléfono.
Ahora el atacante tendría tu número de teléfono. Con eso, pueden obtener acceso a cuentas protegidas por autenticación de dos factores basada en SMS. Para un estafador individual, engañar a una persona de servicio al cliente es más fácil que piratear SS7, después de todo. Esto se denomina "estafa de port-out" o "ataque de intercambio de SIM".
A menudo, puede proteger su número de teléfono agregando PIN y funciones de seguridad adicionales con su proveedor de telefonía celular. Consulte con su proveedor de telefonía celular para ver qué funciones de seguridad ofrecen para protegerse contra las estafas de transferencia.
Esto le ha sucedido a bastantes personas, lo suficiente como para que la FCC y Better Business Bureau hayan publicado avisos de advertencia sobre esta estafa.
iMessage y RCS: ¿mejor que los SMS?
La aplicación Mensajes en iPhone admite SMS y el servicio iMessage de Apple . En Android, cada vez más teléfonos Android están obteniendo soporte para el estándar más moderno Rich Communication Services (RCS) . Ambos están diseñados para "actualizar" silenciosamente las conversaciones de mensajes de texto a conversaciones más modernas y seguras cuando ambas personas utilizan dispositivos que las admiten. Entonces, ¿cómo se comparan con los SMS?
El iMessage de Apple se suma a los SMS en cierto sentido, utilizando números de teléfono como identificadores. Si tanto usted como la persona a la que desea enviar un mensaje de texto tienen iPhones y han habilitado iMessage, cualquier mensaje de texto que envíe se enviará como un iMessage. Estos se cifran de extremo a extremo y se envían a través de los servidores de Apple. Sabrá que se está utilizando iMessage porque los mensajes tendrán burbujas azules . Si ves burbujas verdes en su lugar, la aplicación Mensajes está usando SMS, porque estás enviando mensajes a alguien sin iMessage, probablemente una persona que es un usuario de Android.
El estándar RCS que se está impulsando para los usuarios de Android (considérelo como el equivalente de Google / Android al iMessage de Apple) no admitía el cifrado de extremo a extremo a partir de enero de 2021. En noviembre de 2020, Google estaba trabajando para agregar de extremo a extremo finalizar el cifrado a RCS . Eso significa que, incluso con ese nuevo y elegante sistema RCS en su teléfono Android, su operador de telefonía celular aún puede ver el contenido de los mensajes que envía, al igual que con los SMS.
Los problemas con los SMS, resumidos
Resumamos rápidamente los problemas con los SMS y comparémoslo con una aplicación de chat cifrada de extremo a extremo segura como Signal.
Con SMS:
- Su operador de telefonía celular puede ver el contenido de los mensajes que envía y recibe. Cualquier registro recopilado podría ser citado en procedimientos legales.
- Los piratas informáticos pueden interceptar los mensajes SMS debido a las debilidades del viejo y desvencijado protocolo que los alimenta. Esto pone en riesgo las cuentas financieras y de otro tipo.
- Las autoridades pueden desplegar mantarrayas para espiar el contenido de los mensajes de texto en un área.
- Los estafadores pueden intentar robar su número de teléfono celular engañando al personal de servicio al cliente de su proveedor de telefonía celular.
Con Signal, por ejemplo:
- Su operador de telefonía celular no puede ver el contenido de sus mensajes. Ni siquiera Signal puede ver el contenido de sus mensajes o con quién se está comunicando; eso sigue siendo un secreto. Signal no recopila estos datos. Si es forzado por una citación, Signal no puede revelar casi nada sobre su uso del servicio.
- Los hackers no pueden apropiarse de los mensajes de señales de forma realista. Tendrían que comprometer el protocolo de cifrado de Signal , que los expertos en seguridad consideran excelente. (Por el contrario, SS7 se ha visto comprometido repetidamente).
- Las mantarrayas no pueden ver tus conversaciones. Las autoridades no pueden espiar el contenido de los mensajes de Signal, no sin tener en sus manos un teléfono que los contiene. Todo lo que pueden ver es el tráfico encriptado que se envía y recibe a los servidores de Signal.
- Una estafa de transferencia que capture su número de teléfono no otorgaría acceso a su cuenta de Signal. Puede proteger su cuenta de Signal con un PIN , por lo que un estafador no puede simplemente acceder a su cuenta de Signal. Incluso si el estafador pudiera de alguna manera adivinar su PIN y acceder a su cuenta de Signal, sus mensajes de Signal se almacenan en su teléfono y no se sincronizarán con ningún dispositivo nuevo que obtenga acceso a su cuenta.
Qué deberías usar en su lugar
Usamos Signal como ejemplo aquí, ya que el contraste es muy marcado: Signal es la aplicación de chat privado más recomendada, con cifrado de extremo a extremo siempre activo .
Si tienes un iPhone, comunicarte con iMessage es mucho más privado y seguro que usar SMS simples. Con suerte, los usuarios de Android algún día tendrán mensajes cifrados de extremo a extremo seguros integrados en sus dispositivos después de que se realicen mejoras en RCS. Desafortunadamente, iMessage y RCS no son compatibles entre sí, por lo que los teléfonos iPhone y Android tendrán que comunicarse por SMS o cambiar a diferentes aplicaciones de chat que no están integradas.
Otras aplicaciones de chat también son una opción. Telegram es popular, aunque no usa cifrado de extremo a extremo de forma predeterminada. WhatsApp al menos utiliza encriptación de extremo a extremo de forma predeterminada, a diferencia de Facebook Messenger, si confía en una aplicación de chat operada por Facebook. Pero incluso Facebook Messenger es posiblemente más seguro que los SMS: confía en Facebook con sus mensajes, pero al menos no tiene que preocuparse por los problemas del antiguo y chirriante protocolo SS7.
Para la seguridad de dos factores, es mejor evitar los SMS para tareas realmente críticas. Desafortunadamente, algunos servicios recurrirán a dos factores de todos modos: por conveniencia. Por ejemplo, Google ofrece protección avanzada para periodistas, activistas, líderes empresariales y políticos que necesitan la máxima seguridad para sus cuentas y requiere el uso de una llave de seguridad física . Dicho esto, la seguridad de dos factores basada en SMS sigue siendo mejor que nada.
El futuro de los SMS: ¿se solucionará alguna vez?
SMS es una tecnología obsoleta. Claramente, no se construyó teniendo en cuenta la privacidad y la seguridad, y esas decisiones de diseño todavía están presentes en la actualidad.
Con suerte, esto se solucionará en el futuro. Si RCS se vuelve más maduro, obtiene cifrado de extremo a extremo y está disponible en todos los teléfonos Android, bueno, entonces todo lo que Apple tendría que hacer es aceptar que RCS sea compatible con iMessage de alguna manera. Entonces, todos los teléfonos inteligentes modernos tendrían mensajería segura que no depende de protocolos antiguos integrados.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
