El servicio de mensajes cortos (SMS), utilizado habitualmente para la verificación de cuentas en plataformas digitales y alpicaciones, se ha convertido en los últimos años en un terreno de juego para actividades fraudulentas. Un estudio sobre el ecosistema de los números de teléfono desechables (DPN), titulado ‘Your Code is 0000: An Analysis of the Disposable Phone Numbers Ecosystem‘, ha descubierto cómo estos números desechables se explotan para la creación fraudulenta de cuentas y el acceso no autorizado eludiendo medidas de seguridad como la autenticación de dos factores (2FA).
Los investigadores responsables del estudio, pertenecientes a la Universidad Carlos III de Madrid y a los Institutos Madrileños de Estudios Avanzados de IMDEA Software e IMDEA Networks, han hallado evidencias de un abuso significativo de las aplicaciones PSG (Public SMS Gateways), gracias a las cuales los hackers pueden obtener DPN gratuitos sin necesidad de registrarse o crear una cuenta.
Cómo funciona el fraude
El análisis, que ha revisado el uso de 17.141 números de teléfono desechables únicos en 29 aplicaciones PSG, ha examinando más de 70 millones de mensajes y ha determinado que los DPN, aunque en teoría están pensados para la protección de la privacidad de los usuarios, se explotan para la creación fraudulenta y robo de cuentas esquivando la doble autenticación y otras medidas de seguridad.
Los resultados, presentados en la Conferencia Network Traffic Measurement and Analysis (TMA) 2023, muestran una imagen preocupante del ecosistema de las DPN y profundiza en las relaciones entre los distintos servicios que las ofrecen.
A través de la identificación y clasificación de la finalidad de los SMS analizados, los investigadores han atribuido con precisión los mensajes a más de 200 servicios online que utilizan los SMS para la creación de cuentas registradas. Entre ellos se encuentran plataformas tan conocidas y masivas como Amazon, PayPal, Uber, WhatsApp, Facebook, Instagram, Google o Tik Tok.
Los resultados ponen de relieve un patrón global de abusos que afecta a las principales plataformas de Internet y servicios en línea en el ámbito de la redes sociales, entretenimiento, educación y finanzas. En algunos casos, los autores pudieron vincular los abusos a bancos, servicios de telecomunicaciones e incluso administraciones públicas. El uso indebido abarca desde la creación fraudulenta de cuentas hasta el acceso no autorizado, con un impacto significativo en la seguridad e integridad de diversas plataformas en línea.
¿El fin de los SMS como canal de verificación seguro?
Srjan Matic, investigador de IMDEA Software, explica cómo un mecanismo introducido inicialmente para reforzar la seguridad se ha convertido precisamente en un riesgo para la misma: «En los últimos años, los servicios en línea han redoblado sus esfuerzos para combatir la creación de cuentas falsas, la suplantación de identidad y los accesos no autorizados. Esto se ha conseguido principalmente aprovechando los SMS como canal seguro para enviar mensajes de verificación. Nuestro trabajo demuestra cómo el ecosistema DPN está siendo utilizado principalmente para eludir estos mecanismos de seguridad, sin necesidad de un número de teléfono personal».
Según señala el científico, se ha observado un incremento significativo en el uso estos DPN para crear cuentas falsas, saltando de miles de mensaje en 2018 a millones en la actualidad. Las implicaciones de esta nueva amenaza exigen, en palabras del equipo de investigadores, «una mayor concienciación y medidas de seguridad más estrictas por parte de los proveedores de servicios en línea».
Dado que las DPN siguen siendo una opción popular para los usuarios preocupados por su privacidad, el estudio subraya la urgente necesidad de encontrar un equilibrio entre la privacidad del usuario y la protección contra actividades fraudulentas en el cambiante panorama de la seguridad en línea.