Crecen los fraudes online utilizando números de teléfono desechables
Estos números se explotan para la creación fraudulenta de cuentas y el acceso no autorizado
Investigadores de la Universidad Carlos III de Madrid (UC3M), y los Institutos Madrileños de Estudios Avanzados IMDEA Software e IMDEA Networks han descubierto un "abuso significativo" de aplicaciones especializadas conocidas como Public SMS Gateways (PSG), que proporcionan números desechables gratuitos, sin necesidad de registrarse o crear una cuenta.
El análisis, realizado durante 12 meses, monitorizó 17.141 de estos números en 29 de esas PSG y examinó un conjunto de datos de más de 70 millones de mensajes.
Los resultados, que se presentaron en la Conferencia de Análisis y Medición del Tráfico de Red (TMA) 2023, muestran "un panorama preocupante" de cómo éstos números, si bien sirven como herramientas para la protección de la privacidad del usuario, se explotan para la creación fraudulenta de cuentas y el acceso no autorizado, en particular eludiendo medidas de seguridad como la autenticación de dos factores.
El estudio es la investigación más completa del ecosistema de números desechables, subrayan sus responsables, y profundiza en las relaciones entre los distintos servicios que los ofrecen.
Los investigadores construyeron un marco robusto capaz de identificar y clasificar el propósito de cada SMS, atribuyendo con precisión los mensajes a más de 200 servicios populares de Internet que dependen de los SMS para crear cuentas registradas, como Amazon, PayPal, Uber, WhatsApp, Facebook, Instagram, Google, o Tik Tok, entre otros.
"Los resultados resaltan un patrón global de abuso que afecta a las principales plataformas de Internet y servicios en línea en redes sociales, entretenimiento, educación y finanzas", destaca Narseo Vallina-Rodríguez, profesor asociado de investigación en Imdea Networks y coautor de este trabajo.
Un amplio abanico de uso indebido
En algunos casos especiales, los autores pudieron vincular los abusos con bancos, servicios de telecomunicaciones e incluso administraciones públicas. El uso indebido, explican, abarca desde la creación fraudulenta de cuentas hasta el acceso no autorizado, con un impacto significativo en la seguridad e integridad de diversas plataformas en línea.
"En los últimos años, los servicios en línea han redoblado sus esfuerzos para combatir la creación de cuentas falsas, la suplantación de identidad y los accesos no autorizados. Esto se ha logrado principalmente aprovechando los SMS como canal seguro para enviar mensajes de verificación. Nuestro trabajo demuestra cómo el ecosistema DPN se está utilizando principalmente para eludir estos mecanismos de seguridad, sin la necesidad de un número de teléfono personal", añaden.
En comparación con una medición anterior de 2018, los autores han observado un "aumento significativo" en el uso de números desechables para crear cuentas falsas, pasando "de miles a millones de mensajes", afirma Srdjan Matic, investigador de Imdea Software, uno de los autores de este estudio.
Las implicaciones de estos hallazgos exigen, subrayan, una "mayor conciencia y medidas de seguridad más estrictas" por parte de los proveedores de servicios en línea. Dado que siguen siendo una opción popular para los usuarios preocupados por la privacidad, el estudio subraya la "urgente necesidad" de lograr un equilibrio entre la privacidad del usuario y la protección contra actividades fraudulentas en el cambiante panorama de la seguridad en línea, concluyen.
