📰 Artículos
Operadoras

Movistar y Orange activan los mensajes RCS verificados en España para frenar la plaga de SMS fraudulentos

Joshua Llorach 3 marzo 2024 17:13 ✎

⋮

Las operadoras tratan de recuperar la confianza de los usuarios en su mensajería activando los mensajes RCS con la identidad del remitente verificada directamente por la operadora.

Las estafas por mensajes SMS llevan tiempo entre nosotros, pero en el último año han aumentado su grado de sofisticación gracias al Caller ID spoofing, con el que se falsea el número de origen del mensaje para suplantar a empresas y organismos, haciendo el engaño mucho más efectivo. Esto ha llevado el smishing, que es como se conoce al fraude por SMS, a otro nivel. El móvil coloca el mensaje fraudulento en la misma conversación que la del banco junto con otros mensajes legítimos, con lo que caer en la trampa es muy fácil, incluso para usuarios con experiencia.

Hace tiempo que los mensajes cortos cuentan con mecanismos para defenderse de la suplantación de identidad, pero por desgracia nadie ha considerado necesario implementarlos en España, a parte de Google, que es el creador de esta solución. Los SMS verificados fueron lanzados en 20191 para permitir que las empresas puedan firmar digitalmente sus envíos y evitar ser suplantadas. La app Mensajes del móvil comprueba así que efectivamente han sido enviados por quien dicen, mostrando el logotipo y denominación del remitente junto con la insignia de verificado si el origen es legítimo.

RCS ya está listo para sustituir por completo a los SMS

La mensajería RCS es el sustituto natural del SMS y también cuenta con un sistema de verificación del remitente. A diferencia de los SMS verificados que usan un sistema creado por Google que otros fabricantes e incluso operadoras han sido reacios a adoptar, la verificación de los mensajes RCS está estandarizada por la asociación mundial de operadoras GSMA dentro de su RCS Universal Profile2.

Hasta ahora el problema para la expansión de los RCS ha sido Apple, que como alternativa a iMessage solo soportaba los viejos SMS, pero tras ser designada como gatekeeper en Europa el pasado septiembre, la empresa ha flexibilizado sus postura al verse obligada a mantener la interoperabilidad con otras plataformas, por lo que ha prometido3 que los usuarios de iPhone podrán comunicarse por RCS para finales de este 2024. Apple basará su implementación en el perfil universal de la GSMA, por lo que su público también podrá ver las marcas de verificación.

Con RCS Universal Profile las operadoras son las responsables de verificar los mensajes que entran en su red. Para ello la app de mensajes del terminal de usuario envía la firma digital del mensaje a un API de la red de la operadora, que comprueba su integridad y si es así, responde con la información de la empresa que se muestra al usuario como verificada. Las operadoras obtienen a su vez esta información de las llamadas autoridades de verificación, que pueden ser ellas mismas o agentes externos de confianza, como otras operadoras.

RCS verificados en Movistar y Orange

Este sistema ha empezado a funcionar en nuestro país en las últimas semanas para clientes de Movistar y Orange. Como puede verse en las imágenes, conocidas marcas como Springfield o Women's Secret, que hasta hace unos días utilizaban SMS para sus comunicaciones, han dado el salto a los RCS verificados. Además, al pulsar sobre la insignia, el usuario puede ver que es su operadora quien garantiza la veracidad de la identidad del remitente.

En el caso de Vodafone, su mensajería RCS está delegada en Google, por lo que será este el que verifique el orígen.

La necesidad urgente de luchar contra el fraude que afecta afecta a las redes de las operadoras de telecomunicaciones, junto con el cambio de actitud de Apple, pueden ser el impulso definitivo para que RCS sustituya por fin tras más de tres décadas a los viejos mensajes SMS.

💬 Comentarios

Ossian 3 marzo 2024 18:02

⋮

se que no es Movistar ni Orange, pero a mi ayer en Fi no me conectaba/verificaba el número ni en el M52 5G ni en el Moto G pro 2020 y ahora me acaba de verificar casi instantáneo en el motorola; esta mañana me llamó un 602 37 68 67 y salió una locución diciendo que tiktok me invitaba a un evento, y automáticamente colgué y reporté, no estaba reportado en ningún sitio el número xD lo del spam y las estafas es una locura ultimamente, está bien que empiecen a hacer algo, aunque empiecen por los SMS

✖

TaleQ 3 marzo 2024 22:22

⋮

Tienes root en ese móvil?

androidauthority.com/google-silently-blo…roms-3421652

✖

Ossian 3 marzo 2024 22:23

⋮

no, el motorola esta de serie, jamás se tocó, y ahora si está verificado, y aunque el Samsung si que tuvo gestor desbloqueado, jamás le hice root, y si verifica, por eso menciono que ayer no lo hacía y hoy si, como dato de que algo pasó en las últimas 24h

Rorte01 3 marzo 2024 19:17

⋮

Lo de las llamadas y SMS fraudulentos se ha ido de las manos. No se si esta es la solución, pero algo hay que hacer.

ntmjias 3 marzo 2024 19:21

⋮

RCS está infrautilizado, pero yo cada vez lo uso más. Ya con algunos contactos no uso WhatsApp sino RCS. RCS lo tiene prácticamente todo el mundo y es gratis.

Las operadoras tampoco se han esforzado mucho. Las llamadas perdidas mismamente, se podrían notificar por RCS. Dado que si alguien no tiene cobertura (recientemente se ha implantado SMS over wifi) puede que la persona tenga wifi y le entre por RCS, como me pasaba a mi en casa o el trabajo y hasta que no salía de la zona sin cobertura móvil no me enteraba que me habían llamado, que entraban todos los SMS. Para SMS over wifi necesitas tener implementado correctamente IMS en el teléfono y ya son muchas quinielas aún hoy en día, lo estamos viendo con VoLTE y VoWiFi. Es más probable que funcione el RCS en el móvil que el SMS over wifi.

O un sistema redundante que si no recibes el RCS lo intente por SMS.

Los servicios de verificación en dos pasos también podrían usar RCS.

RCS es algo que parte de la GSMA, que Google lo incorporó y Apple no, nunca lo entendí, cómo si fuera Google el creador, Apple lo rechazaba cuando los RCS, el servicio de comunicaciones enriquecidas es de la GSMA. Puedes tener RCS sin la aplicación de mensajes de Google, por ejemplo la propia aplicación de mensajes de Samsung soporta el estándar RCS.

Desconozco si KiOS lo incorpora y algún feature phone, los teléfonos de teclado físico de toda la vida.

✖

Cosmonauta 3 marzo 2024 19:29

⋮

Los iPhones no tienen RCS, y eso es un problema, aunque creo que Apple está en ello.

✖

Alexvr 3 marzo 2024 19:32

⋮

Apple está obligada a implementar rcs por la unión europea. Pobre de apple como ignore las normas comunitarias.

✖

Cosmonauta 3 marzo 2024 19:35

⋮

Sí, tienes razón. Aunque Apple está implementando de aquella manera los cambios para la DMA y ya veremos si la comisión europea les da el visto bueno o les mete un multazo.

lhacc 4 marzo 2024 17:34

⋮

Apple está obligada a implementar rcs por la unión europea

No encuentro fuente de esto.

✖

Parodper 6 marzo 2024 20:15

⋮

Y la Comisión ha indicado que iMessage no cuenta como gatekeeper

Alexvr 3 marzo 2024 19:40

⋮

De todos modos, si apple no implementase rcs, hablando en general, deberian las operadoras y los fabricantes sudar de apple para que no lastre el progreso tecnológico.

¿Que te compras iPhone? Hazlo bajo tu responsabilidad porque yo no te voy a ofrecer soporte.

Weikis 4 marzo 2024 06:57

⋮

Vamos si RCS funciona. Ya desde hace unas semanas que empecé a recibir mensajes de spam por RCS. Esto lo recibí en el trabajo bajo 3 metros de hormigón armado y obvio 0 cobertura salvo Wi-Fi. 1000055648

Ni siquiera soy cliente ni nunca lo fui de banca march.

Los códigos de Telegram hace tiempo que estan verificados. 1000055650

Nekmo 3 marzo 2024 19:36

⋮

Como siempre Apple a la cola de la estandarización… Si no fuese por los iPhone, ya tendríamos esto hace tiempo. Y ha tenido que ser Europa quien la obligue…

Castillos 3 marzo 2024 22:19

⋮

Google ya lo utiliza:

Es un avance, pero el doble factor de autenticación (2FA) basado en SMS, sigue siendo vulnerable al phishing, a la ingeniería social o al SIM Swapping.

Es necesario que las entidades bancarias mejoren sus métodos de autenticación, y uticen por defecto sistemas de autenticación antiphishing. El único método de autenticación a a prueba de phishing que resiste los ataques de ingeniería social y de robo de credenciales, son las claves de seguridad que implementan los estándares FIDO, FIDO2 y WebAuthn.

Uno de los elementos de autenticación FIDO2/WebAuthn sería "algo que tienes" como es un dispositivo de hardware que no se puede clonar, como un teléfono móvil con TEE (Trusted Execution Environment), o una llave de seguridad hardware (Yubikey, Feitian, etc…). Y el otro elemento de autenticación sería la biometría (huella dactilar, FaceID) o un PIN. Además este sistema de autenticación es interoperable y vale tanto para Android, como para iPhone, como para Windows o incluso Linux.

FIDO2/WebAuthn es a prueba de phishing porque implementa un sistema de desafío/respuesta que está protegido criptográficamente, y el protocolo del desafío incorpora el dominio o el sitio web específico en el que se está autenticando el usuario. Al iniciar la autenticación, la clave privada generará una respuesta distinta en el sitio "fake" exampie.com que en el sitio legítimo example.com, y por tanto, fallará la autenticación.

Por eso está bien sustituir los SMS por RCS, pero para algo tan sensible como una cuenta bancaria, no podemos depender tanto de la seguridad de las operadoras, no puede depender la seguridad de nuestro dinero en que un empleado desleal o incompetente haga un duplicado de nuestra SIM y se lo facilite a un delincuente.

2Fast 4 marzo 2024 06:19

⋮

Esto no es solución a los SMS fraudulentos. La solución no pasa por usar una alternativa (la cual implicaría acabar la funcionalidad de SMS, que eso lo verán nuestros nietos al ritmo que vamos), pasa por solucionar de una puñetera vez el tema de la falsificación del caller ID en SMS y LLAMADAS (sí, no nos olvidemos de las llamadas). Que soluciones para esto hay mil, pero lo que no hay es interés ni esfuerzo por parte de los operadores españoles en acabar con esta aberración que sufrimos sus clientes.

Ya puso un artículo hace poco Josh comentando que las autoridades empezaban a moverse para intentar solucionar la plaga de la falsificación de los caller ID. Me parece que algo de esta importancia debería hacerse con cierta urgencia, no con la parsimonia típica de la burrocracia e implicando de verdad a los operadores, con amenaza disuasoria de sanciones millonarias inclusive si los operadores no cumplen en plazo ni en efectividad en aplicar las soluciones.

✖

Schezard 4 marzo 2024 16:27

⋮

La solución pasa porque europa (si es con la ayuda de EEUU mejor) por una vez se ponga las pilas, implante un estándar seguro y de un tiempo de adaptación. En 2 años y medio nos quitamos los tomos.

Y obviamente ayudar al tercer mundo a adaptarse para no quedar incomunicados

Weikis 4 marzo 2024 06:52

⋮

Yo le tengo mucho pánico al SIM Swaping.

✖

Alexvr 4 marzo 2024 07:44

⋮

Tarifa prepago y solucionado.

✖

PezDeRedes 4 marzo 2024 08:13

⋮

Y seguimos haciendo que los usuarios tengan que solucionar problemas que NO son suyos…

✖

Alexvr 4 marzo 2024 08:20

⋮

O lo tomas o lo dejas. A las operadoras hasta que no les sancionen pasan de ti.

Weikis 4 marzo 2024 15:09

⋮

Te pueden hacer SIM swapping incluso con prepago.

✖

Alexvr 4 marzo 2024 15:35

⋮

Hasta donde yo se, sin iccid ni pueden portar fraudulentamente ni tampoco pedir un duplicado de la SIM.

✖

Cosmonauta 4 marzo 2024 17:54

⋮

Un duplicado de SIM puedes hacerlo sin el iccid.

✖

Alexvr 4 marzo 2024 18:07

⋮

✖

davidolid 5 marzo 2024 14:22

⋮

Zhaun 4 marzo 2024 16:17

⋮

Normal, los bancos siguen usando SMS para recuperación de clave.

Lobo Anonimo 5 marzo 2024 09:26

⋮

Como puedo yo hacer que Vodafone/Orange me verifique mi numero como pequeño negocio? (O aqui solo se verifica a los bancos e Inditex?)

✖

Javier MG 12 marzo 2024 14:42

⋮

Cualquier negocio en principio puede enviar estos mensajes, pero tienes que contratar el servicio con una empresa que lo dé (un operador, o una empresa de envíos de mensajes)

elcompartidor 5 marzo 2024 23:35

⋮

Hoy mismo en la línea de empresa de Yoigo, recibí un rcs verificado de Microsoft, si me acuerdo mañana pongo foto. Así que se podría decir que es una implementacion general, a la que se incluye jibe mobile, por lo cual tanto Yoigo como Vodafone…

✖

skgsergio 6 marzo 2024 14:33

⋮

Si, pero yo Verificados de Google ya los recibía hace tiempo. Lo que no se yo es si por ejemplo cosas como Springfield o Women' Secret (los ejemplos del post) los recibirías por RCS verificado.

✖

elcompartidor 6 marzo 2024 15:06

⋮

También recuerdo haberlo recibido de ellos si.

Supongo que es lo mismo. Yo es que no suelo realizar compras en el mundo textil por lo que no puedo confirmarlo

✖

skgsergio 6 marzo 2024 15:16

⋮

No me has entendido, mira el mensaje del que puse ahora y del articulo, uno está verificado por Google y el otro por O2 u Orange.

Si Springfield/WS la verificaicon la hacen via las operadoras sospecho que no llegaran verificados a los usuarios de RCS via Jibe.

✖

Javier MG 12 marzo 2024 14:41

⋮

La verificación la hace cada prestador del servicio de RCS: si eres Movistar/O2, Orange o Vodafone, aparece verificado por ellos. si eres Digi o MásMóvil, el servicio lo presta Google y aparece verificado por ellos. Excepcionalmente, si es una clave del propio Google, siempre aparece verificado por Google.