BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

Open Gateway llega a España. Las apps sabrán el número y cuando cambió la SIM un cliente de Movistar, Orange o Vodafone.

Joshua Llorach
Open Gateway

Las tres grandes operadoras abren la comercialización en España de las dos primeras funciones del API Open Gateway: NumberVerification y SIM Swap. Este es su funcionamiento.

Qué es Open Gateway

Hace ahora un año, coincidiendo con la celebración del congreso de móviles MWC en Barcelona, 21 grandes operadoras de telecomunicaciones de todo el mundo se unían para anunciar el proyecto Open Gateway. Se trata de un API estandarizado para que las aplicaciones en el móvil del cliente o en los equipos conectados a la fibra puedan comunicarse con los sistemas de la red de la operadora, con el fin de obtener información o modificar el comportamiento de la conexión.

Buceando en el código publicado en GitHub descubrimos 12 funciones iniciales que iban desde la creación de tokens de seguimiento publicitario tipo Utiq hasta el cargo de compras en la factura, pasando por la verificación del número, del IMEI del móvil, si está encendido en ese momento, confirmación de la ubicación o cuando se cambió la SIM. Se trata de información útil para terceros que necesitan, por ejemplo, verificar al usuario a la hora de hacer una operación online.

Desde su lanzamiento estas funciones han estado en desarrollo y completando las primeras pruebas. Ahora las tres principales operadoras en el mercado español, Movistar, Orange y Vodafone, anuncian2 el lanzamiento comercial de las primeras dos funcionalidades.

NumberVerification y SIM Swap disponibles en Movistar, Orange y Vodafone

La primera es NumberVerification, con la que un app puede validar el número de teléfono sin necesidad de enviar un SMS con un código de verificación. Tiene dos modos de funcionamiento. El primero es confirmando que el número indicado por la app corresponde realmente con el de la línea y el segundo devolviendo directamente el número1, evitando así que el usuario tenga que introducirlo.

Llamada a NumberVerification
Secuencia de la llamada a NumberVerification según Orange

La segunda función es SIM Swap, con la que una app de servicios bancarios puede saber si la tarjeta SIM del usuario ha sido cambiada recientemente, ya que devuelve la fecha del último cambio de SIM. Las multas por duplicados fraudulentos de línea son cuantiosas y frecuentes, así que a las operadoras también les interesa añadir esta comprobación de seguridad.

La apertura de estas dos llamadas al API de Open Gateway se realizará coincidiendo con la celebración del MWC 2024 a partir del próximo día 26 de febrero. Las operadoras comercializan el acceso a esta información, de forma que se espera que Open Gateway se convierta en una nueva fuente de ingresos.

Todavía hay otras funciones que estarán disponibles en el futuro. Una de ellas es la que Movistar está probando con Smart Mobile, un modo que permite convertir la línea del usuario en prioritaria para garantizar alta velocidad y baja latencia cuando la red móvil está congestionada.

Puedes ver el listado de funciones de Open Gateway en este artículo: Qué supone Open Gateway para la privacidad de los clientes de Movistar, Orange y Vodafone.

  1. developer.orange.com/apis/camara-number-…er-operation
  2. gsma.com/newsroom/press-release/spanish-…y-initiative

💬 Comentarios

1
Jonayp44
12

Curioso la unión europea da por saco con tema cookies que tiene avisar de lo que hacen y las tienes que aceptar a Apple la obligan a dejar que entren tiendas de fuera y a las operadoras hace lo que les da la gana y no dicen nada

esj
6

Esto es una herramienta más de espionaje y control. Lamentable a dónde vamos

JGeek00
1

Bueno pero las apps están controladas por el sistema operativo y para que esto funcione lo tendrá que incorporar el propio sistema operativo

Telepi

Qué es eso de un duplicado de línea?

🗨️ 1
Castillos
1

Es por ejemplo, cuando pierdes o te roban el móvil, y necesitas un duplicado de la tarjeta SIM para tener tu número en un teléfono nuevo.

El problema gordo viene cuando un delincuente se hace pasar por ti (suplantación de identidad) para pedir un duplicado de la tarjeta SIM con tu mismo número de teléfono. De esa forma, te puede robar cuentas donde tengas registrado tu número de teléfono como método de recuperación, o incluso llegar a acceder a tu cuenta bancaria y robarte todo tu dinero.

PezDeRedes
4

Las cookies hay que aceptarlas y aguantar el cartelito en cada web. Y esto, ¿no tengo que aceptarlo?

Vaya, vaya… aquí no hay playa.

🗨️ 6
Josh
2

Supongo que obtener el número requiere que el user consienta, por ejemplo al aceptar los ToS de la app. Hay un API llamada IdentityAndConsentManagement que parace que se utilizará para eso.

🗨️ 1
PezDeRedes
3

El consentimiento debería ser más explícito que unos ToS que nadie lee, ni entiende.

Tiene que haber forma de bloquear el invento este 🤔

EmuAGR
4

Ahora todas las apps tendrán nuestro número sin problemas.

🗨️ 3
PezDeRedes
4

Está bien eso, sí señor.

Uropa ni pío, claro está.

🗨️ 2
Aell6782
4

Poca broma, que como no metan un capado y seguridad importante, está la store de Android con tema de fraudes y apps chunguitas, como para confiar tirando a poco en este invento.

🗨️ 1
PezDeRedes
3

La seguridad en Android no es confiable, porque la enorme mayoría de móviles están desactualizados y tienen el parche de seguridad de cuando Colón llegó a América.

Veo problemas de privacidad y de seguridad.

Klendathu
1

Cada vez es más difícil escapar del Gran Satanás™. Ni bloqueadores de cookies, ni modo porno en navegadores, ni SIM prepagos compradas en gasolineras, ni soplar el cartucho… etc, etc, etc.

Es una especie de carrera armamentística donde el individuo ya no tiene la capacidad de resistir. Éste necesita como tres doctorados, un acelerador de partículas* en casa, 100 millones de euros en presupuesto y varios contactos para los chanchullos en el Ibex35 y la administración pública. Es así porque las capacidades de su adversario ya son incomprensibles y más cercanas a la mágia negra que a cualquier libro de O'Reilly con sus animalillos en la portada. Ganan el partido sin bajar del autobús.

Al final, para no acabar como un zombi de novela distópica, tocará vivir en una cabaña en los remotos bosques de Montana (no muy recomendable si en el cole eras bueno en mates).

PD: "Cíñete al tema tratado y no hagas offtopic"… 🤭

*Tiene que ser el modelo Pro. El Home Edition no sirve.

Zhaun

No lo entiendo muy bien. ¿cómo protege ante SIM SWAP? Porque parece que si el ladrón accede por web en vez de por APP no se va a comprobar si se ha realizado un cambio de SIM.

🗨️ 1
Castillos
1

La API no sólo debería funcionar para aplicaciones móviles, sino para cualquier sistema informático que tenga credenciales para interactuar con la API. En este caso, el BANCO antes de mandar el SMS con la clave temporal de segundo factor de verificación, pregunta a la API cuándo se ha producido el último SIM Swap del número de teléfono del cliente que quiere validar la operación con SMS. La API proporciona la última fecha y hora de SIM Swap, y si la fecha y hora son recientes, el banco puede directamente denegar la operación ante el riesgo potencial de fraude, o bien solicitar controles adicionales de autenticación.

Esto no deja de ser un parche ante un protocolo de autenticación inseguro, porque hay otros problemas como que los mensajes viajan por las redes de telefonía sin cifrar, y los ciberdelincuentes pueden llegar a interceptarlos (véase ataque SS7 contra O2 Alemania en 2017).

El SIM Swapping se cortaría de raíz si se dejase de utilizar los SMS como 2FA, existiendo métodos de verificación mucho más seguros como FIDO y FIDO2/WebAuthn, utilizando por ejemplo la APP del teléfono móvil vinculado como llave de seguridad FIDO2, y dejando la posibilidad de utilizar llaves de seguridad hardware USB (tipo Yubikey) como "backup" al teléfono móvil, o para operar por la web de forma segura sin un smartphone.

Además con el método de autenticación FIDO2/WebAuthn, dejas el phishing y al smishing fuera de juego, puesto que no necesitas una contraseña para acceder a la banca online de forma segura. Matas dos pájaros de un tiro.

rme
2

Sospecho que no han tenido en cuenta que algunos compartimos los datos (tethering) y que probablemente estaremos permitiendo sin saberlo que los dispositivos conectados puedan usar NumberVerification en nuestro nombre.

Compartes datos a un amigo y se puede dar de alta en tu WhatsApp, super seguro.

Yonquidigital
-2

menuda vergüenza, y los políticos calladitos como p****

1