La Neta Neta

Cómo funciona SMS y por qué no debe usarlo más

Cómo funciona SMS y por qué no debe usarlo más

by

Neto
in

¿Sabías que, en promedio, 6 mil millones de mensajes SMS se envían todos los días solo en los EE. UU. Eso es 180 mil millones cada mes y 2,27 billones cada año. A nivel mundial, 4.200 millones de personas envían mensajes de texto en todo el mundo. Sin duda, eres uno de ellos, lo que significa que disparas aproximadamente 67 mensajes de texto al día. Eso es un montón de "LOL".

Cuando envía todos esos mensajes de texto, probablemente asume que usted y sus destinatarios son los únicos que conocen la información que contienen. Ahí es donde te equivocarías.

La verdad es que los mensajes de texto no son seguros, y esa inseguridad lo pone a usted, a sus amigos, familiares y negocios en riesgo. Y ni siquiera es tu culpa; Los servicios de mensajería de texto predeterminados que muchos de nosotros utilizamos son antiguos y vulnerables a varios escenarios de ataque diferentes. Si bien los operadores están en camino de actualizarlo, puede ser muy poco o muy tarde.

Pero antes de que pueda entender por qué debería gastar más energía en practicar mensajes de texto seguros, puede ser útil comprender cómo funciona todo el sistema en primer lugar. Aquí está el desglose.

¿Qué es un SMS?

Si está enviando un mensaje de texto, generalmente está enviando un "SMS", que significa Servicio de mensajes cortos. Es el servicio de mensajería de texto más antiguo y uno de los más utilizados en la actualidad. Incluye MMS (Servicio de mensajería multimedia) que permite a los usuarios de SMS enviar contenido multimedia como imágenes, audio y archivos visuales. Tanto los SMS como los MMS se envían mediante redes celulares y, por lo tanto, requieren un plan inalámbrico y un proveedor de servicios inalámbricos.

Si envía un mensaje de "texto" tradicional en su teléfono, se considera un SMS. Cuando envías ese gif, acabas de enviar un MMS.

¿Cómo funciona el SMS?

Cuando envía un mensaje de texto, primero va a una torre celular cercana a través de una vía llamada canal de control, y luego a un centro de SMS (SMSC). El SMSC reenvía ese mensaje a la torre más cercana al destinatario y luego va a su teléfono. SMS también envía datos asociados con el mensaje, incluida la longitud del mensaje, el formato, la marca de tiempo y el destino.

De los 109 mensajes de texto que envié ayer, por ejemplo, 15 de ellos fueron mensajes SMS enviados a personas que tienen teléfonos en otros proveedores, 70 se enviaron a través de iMessage y el resto se envió a través de aplicaciones OTT.

¿Qué son las aplicaciones OTT?

WhatsApp, iMessage, Facebook Messenger, WeChat y otras aplicaciones de mensajería se agrupan como aplicaciones OTT y también se consideran servicios de mensajes de texto. OTT significa "Over the Top"; Como grupo, estas aplicaciones son diferentes a los servicios de SMS porque usan protocolos de Internet (IP) en lugar de redes celulares para transmitir mensajes. Esto significa que estos mensajes se envían a través de una conexión a Internet (también conocida como WiFi) oa través de una conexión a Internet móvil.

¿Cómo funcionan las aplicaciones OTT?

Las aplicaciones OTT funcionan de una manera diferente a los SMS porque envían mensajes cifrados a los que solo usted y la persona que recibe su mensaje pueden acceder. Eso significa que el servicio de mensajería no sabe lo que está enviando, y tampoco nadie más que pueda interceptar ese tráfico web.

Por ejemplo, WeChat utiliza el Protocolo extensible de mensajería y presencia (XMPP) para intercambiar datos entre los usuarios. Este protocolo está descentralizado y, como resultado, se considera seguro y flexible. La compañía también usa encriptación SSL / TSL. Todo esto tiene como objetivo garantizar que otras personas no vean sus mensajes.

Los pros y los contras de SMS vs. OTT

Al considerar los servicios de mensajería, las personas a menudo tienen que elegir entre enviar por SMS o enviar por un servicio OTT. Si ha viajado mucho fuera de los EE. UU., Probablemente haya notado que las personas en muchos otros países prefieren WhatsApp a los mensajes de texto.

SMS es el medio de mensajería más ubicuo, pero menos seguro. Las aplicaciones OTT requieren que uses la misma plataforma que la persona a la que le estás enviando mensajes, lo que puede ser molesto. Tal vez sus amigos no quieran descargar otra aplicación solo para enviar mensajes de texto, pero continuar usando SMS podría ponerlo en riesgo porque no tiene cifrado de extremo a extremo.

imagenColin McSherry

La próxima evolución: Rich Communication Services (RCS)

A medida que las aplicaciones OTT canibalizan el mercado de SMS, los operadores se han incentivado para mejorar los servicios de SMS en forma de Rich Communication Services (RCS). RCS teóricamente combina las mejores características de las aplicaciones OTT en un protocolo que es universal en todos los operadores y dispositivos. Este nuevo protocolo reemplazará a los SMS y ha sido un trabajo en progreso durante más de una década.

Aprobado por GSMA en 2008, RCS se adoptó por completo en 2016. Desde entonces, el perfil universal de RCS se ha eliminado con un fuerte soporte y servicios de back-end de Google (que adquirió Jibe) con el objetivo de proporcionar servicios de mensajería interoperables consistentes en todos los dispositivos y redes . Esto no solo ayuda a crear un estándar global, sino que también mejora la capacidad de Android, que es notoriamente más vulnerable a los ataques. Como Dan Wood de Obispo zorro señaló en una entrevista: "Se realiza una gran cantidad de phishing de SMS en plataformas Android".

RCS tiene la capacidad de:

  • Integre con las aplicaciones de contacto para ver quién apoya el servicio.
  • Crea chats grupales.
  • Enviar mensajes de video y audio.
  • Envíe imágenes de alta resolución de hasta 10 MB de tamaño.
  • Comparte ubicacion.
  • Recibir recibos de lectura.
  • Vea cuando las personas responden en tiempo real.
  • El valor predeterminado es SMS o MMS cuando el destinatario no admite RCS.
  • Vea actualizaciones en vivo sobre los próximos viajes y tarjetas de embarque.

    Sin embargo, aunque RCS no tiene cifrado de extremo a extremo, sí tiene los protocolos de seguridad estándar de Transport Layer Security e IPsec.

    RCS no usa conexión celular, sino que depende de una conexión de datos y es independiente del hardware y la plataforma. Sprint, US Cellular y Google Fi han implementado RCS completamente en sus redes y todos los dispositivos. Otras redes lo están implementando contra dispositivos específicos con planes más amplios para implementarse más hasta 2020. Y, en el futuro, todos los dispositivos deberían admitir esta característica de forma inmediata.

    imagenColin McSherry

    En resumen, RCS es un intento por parte de los operadores para garantizar el uso continuo de servicios de mensajería listos para usar y los planes de datos conectados que acompañan dicho uso. Sin embargo, no mejora la seguridad general de la información compartida.

    ¿Por qué debería importarme si mis textos son seguros?

    Con La reciente controversia de mensajes de texto fantasma, la gente ha comenzado a cuestionar qué tan seguros son los mensajes de texto. La respuesta simple: no muy.

    Recuerde: los mensajes de texto se envían en un proceso de varios pasos. Si bien su mensaje puede estar encriptado desde su teléfono a la primera torre celular, no está encriptado después de eso. Y su SMSC puede conservar el mensaje incluso si el remitente y el destinatario lo eliminan. Cada vez que se encripta un mensaje, puede ser leído por el servicio móvil, los piratas informáticos o los gobiernos.

    “Debido a la falta de encriptación, los piratas informáticos pueden buscar puntos débiles en cualquier lugar a lo largo de la ruta virtual entre el emisor y el receptor, lo que incluye una tonelada de dispositivos de red y sistemas informáticos diferentes en muchos proveedores diferentes, solo uno de los cuales debe explotarse a través de vulnerabilidad técnica, configuración incorrecta, ingeniería social o ataque interno ", dice Christopher Howell, CTO de Wickr.

    "Debido a que los mensajes se almacenan en estos sistemas durante más tiempo del necesario", continúa Howell, "aumenta la ventana de vulnerabilidad a través de la cual el hacker puede atacar. En lugar de tener que defender un sistema durante unos segundos para evitar que un hacker robe un mensaje, debe protegerse durante días, semanas o meses. Estas probabilidades favorecen al hacker.

    Es poco probable que esté utilizando su teléfono celular para enviar mensajes de texto sobre códigos de lanzamiento militares, negocios gubernamentales de alto secreto o cualquier otra cosa que sea de gran utilidad para el pirata informático promedio. Pero, ¿qué pasa con un intercambio de texto sobre la decisión de un amigo de dejar a su cónyuge, el susto de cáncer de su jefe o la decisión de su hermana pequeña de cambiar de trabajo? ¿Desea que esa información se difunda en otro lugar? ¿Qué pasa con la información sobre tus hijos, tus mascotas o una selfie desnuda que podría ayudar a alguien a rastrear dónde estás, adivinar tus contraseñas o encontrar el tatuaje en tu muslo izquierdo que también es la contraseña de tu cuenta bancaria?

    No siempre se trata de proteger grandes secretos, se trata de garantizar la privacidad personal de todos los involucrados.

    ¿Por qué debería importarme la seguridad de los SMS en general?

    Hay varias maneras en que los actores maliciosos (gobiernos, terroristas, etc.) pueden piratear los sistemas de SMS y usarlos para su propio beneficio.

    Los gobiernos están pirateando usando SMS. Los hackers chinos hicieron esto recientemente cuando desarrollaron malware para robar mensajes SMS. El malware usó una lista de palabras clave de términos que eran de interés geopolítico para la recopilación de inteligencia china y luego conectó esos términos con números de teléfono que luego rastrearon. El grupo responsable de esto (APT41) también interactuó con registros detallados de llamadas y rastreó a individuos de alto rango que eran de interés para la inteligencia china.

    "Hay errores de" 0 días "en el mercado que pueden acceder de forma remota a su teléfono sin tener que hacer clic en ningún tipo de enlace o hacer nada", dice Ben Lamm, CEO de Hipergigante. “De hecho, este mercado está creciendo, al igual que todas las amenazas a los sistemas vulnerables. El secreto aquí es que todos debemos estar más centrados en la seguridad, en protegernos de la vulnerabilidad y en comprender que un individuo inseguro puede comprometer a todo el grupo ".

    Tomemos, por ejemplo, la autenticación de dos factores, que generalmente consideramos segura. Si la autenticación de ese segundo factor es a través de un servicio de SMS, podría ser interceptada, lo que significa que el sistema que creía seguro ahora podría verse comprometido. Esto es importante si, por ejemplo, utiliza la autenticación de dos factores para proteger su cuenta bancaria, correo electrónico corporativo o perfil de citas.

    Las personas normales también están pirateando y siendo pirateadas mediante SMS. "Los ataques de mensajes de texto están ocurriendo en todas partes, desde estudiantes de secundaria que piratean a sus enemigos para robar sus fotos hasta ataques a nivel nacional", dice Georgia Weidman, fundadora de Shevirah Inc. y un New America Cybersecurity Policy Fellow.

    ¿Qué aplicaciones ofrecen cifrado de extremo a extremo?

    Dada la propensión y variedad de ataques, tiene sentido considerar servicios alternativos que ofrezcan encriptación de extremo a extremo. Las aplicaciones seguras populares incluyen:

    • FaceTime de Apple
    • IMessages de Apple
    • Señal
    • Wickr
    • Cable
    • WhatsApp

      “Un atacante podría enviar un mensaje de texto para atraer a un usuario a iniciar sesión en su banco o descargar una aplicación maliciosa. Muchos usuarios reciben capacitación sobre conciencia de seguridad para desconfiar del phishing por correo electrónico, pero a menudo falta educación sobre los vectores de ataque basados ​​en dispositivos móviles, como mensajes de texto o WhatsApp ”, dice Weidman. “Además, los programas de mensajería de texto en nuestros teléfonos son simplemente software como cualquier otro y, por lo tanto, son propensos a las vulnerabilidades de seguridad. Ha habido casos en el pasado donde un atacante podría enviar un mensaje de texto con formato incorrecto a un dispositivo y obtener el control del dispositivo ".

      La verdad es que todos necesitamos usar una dosis extra de sentido común.

      "Tenga la misma precaución al responder a los mensajes de texto SMS que lo haría con un correo electrónico sospechoso", dice Kristin Kozinski de No hagas clic en eso. “Al evaluar un mensaje, tenga en cuenta la fuente del mensaje. Si no reconoce el número, confirme el contexto del mensaje en otro lugar. Por ejemplo, si su banco le envía un mensaje de texto, llame al número de atención al cliente para verificar el mensaje que recibió. Tenga cuidado con cualquier enlace en el mensaje de texto. Esta es una salida principal para distribuir URL maliciosas. Finalmente, si el texto suena demasiado bueno para ser verdad, probablemente lo sea ".


    Source link