Prórroga del registro telefónico normaliza fraudes por SMS, alertan expertos
Prórroga del registro telefónico normaliza fraudes SMS

Los nuevos lineamientos de la Comisión Reguladora de Telecomunicaciones (CRT) en relación a la prórroga para el registro de líneas telefónicas en el país representan un nuevo riesgo de ciberseguridad, alertan especialistas, pues contiene errores de diseño para la prevención del fraude digital.

Formato de SMS oficial que imita patrones de fraude

Con las disposiciones más recientes, las compañías telefónicas deben enviar mensajes SMS dos veces por semana a todas las líneas no vinculadas con el enlace para que los usuarios realicen el trámite bajo la advertencia de que, si no lo hacen, su línea será suspendida. Asimismo, deben aumentar la frecuencia de la notificación diariamente los siete días previos al vencimiento del plazo correspondiente.

“Por disposición oficial, la fecha límite para vincular tu línea es hasta el DD-MM-AAAA” “Vincula tu línea en [enlace]” es el mensaje que llegará a los usuarios. Sin embargo, además de dejar el registro en manos de los operadores, Victor Ruiz, CEO y fundador de la empresa de ciberseguridad Silikn, lo señala como un formato riesgoso, pues se trata de una comunicación oficial que usa exactamente el mismo patrón que durante años los especialistas en ciberseguridad han enseñado como un intento de fraude y que podría tener nuevas variantes para estafar, como “Por disposición oficial” o “último aviso”.

Banner ancho de Pickt — app de listas de compras colaborativas para Telegram

“La seguridad digital depende en buena medida de que las personas aprendan a reconocer señales de alerta”, explica el especialista en ciberseguridad. “Un SMS inesperado, un enlace, un sentido de urgencia y la amenaza de perder un servicio son, precisamente, las cuatro características más comunes de una campaña de smishing. A partir de ahora, esos mismos elementos dejarán de ser una alerta para convertirse en una práctica institucional”.

Riesgo de smishing masivo y pérdida de confianza

Con este formato será más sencillo modificar el dominio del enlace y distribuir millones de SMS falsos haciéndose pasar por una empresa telefónica, una práctica conocida en el argot especializado como smishing, y que, de acuerdo con Ruiz, destruye uno de los principios fundamentales que durante años han sostenido las campañas de prevención: nunca confiar en un mensaje SMS que contenga un enlace y solicite realizar un trámite urgente.

Como parte de las disposiciones de la CRT, para dar de alta el registro telefónico se necesitan nombre completo, CURP, identificación oficial, RFC y datos biométricos; no obstante, ante la posibilidad de un fraude existe la posibilidad de que los usuarios compartan información todavía más sensible, como datos bancarios, contraseñas y códigos de autenticación enviados por SMS para otras apps.

También abre la puerta a campañas de distribución de malware mediante enlaces que aparentan conducir a la plataforma oficial de registro, pero que en realidad descargan aplicaciones maliciosas capaces de interceptar mensajes, robar credenciales o tomar control del dispositivo, agrega el experto.

Impacto en la alfabetización digital y recomendaciones

Además de erosionar años de campañas de alfabetización digital, Ruiz agrega que en términos de ingeniería social, “la autoridad acaba de entregar un manual para construir mensajes altamente creíbles, aprovechando además el miedo generado por una posible suspensión del servicio telefónico”.

Expansión reportó que al 25 de junio, apenas 63 millones de personas completaron el proceso, equivalentes al 39.1% del universo estimado de líneas. Uno de los principales argumentos que tienen para no hacer este proceso es la desconfianza en el resguardo y destino de los datos personales que se recaban.

Ulises Cervantes, director de seguridad de la información de la empresa Cyberpeace, justifica dichos temores y resalta que cuando un número telefónico queda expuesto en una filtración de datos, puede ser utilizado para fraudes, suplantación de identidad, ataques de phishing y smishing. Además, detalla que el número celular funciona como un identificador único, por lo que ante una exposición es susceptible a rastrear la actividad del usuario entre distintas plataformas y afecta directamente su privacidad.

Banner post-artículo de Pickt — app de listas de compras colaborativas con ilustración familiar

“El número celular ya no es solo un dato de contacto, es una puerta de entrada a la identidad digital de las personas y debe protegerse como tal”, resalta Cervantes. Luego de realizar el registro, señala, es necesario revisar periódicamente la actividad de tus cuentas, siempre mantener los dispositivos y aplicaciones actualizadas y utilizar gestores de contraseñas y software de seguridad para detectar posibles filtraciones de información. Asimismo, aporta que entre algunas señales de alerta a tener en cuenta tras verificar la línea destacan los mensajes de verificación no solicitados, las llamadas o mensajes sospechosos y las alertas de accesos desde ubicaciones desconocidas. En caso de sospechar de un problema, concluye el experto, se debe cambiar las contraseñas de inmediato y contactar a la operadora para reportar el incidente.