Un estudio de IMDEA Software, IMDEA Networks y la UC3M revela el abuso generalizado de números de teléfono desechables en fraudes online

Los servicios en línea que requieren verificación por SMS como Google, Facebook, entidades bancarias o administraciones públicas no disponen de protecciones eficaces contra los abusos del ecosistema de números de teléfono desechables.

El servicio de mensajes cortos (SMS), utilizado habitualmente para la verificación de cuentas, se ha convertido en un terreno de juego para actividades fraudulentas, según un estudio sobre el ecosistema de los números de teléfono desechables (DPN): “Your Code is 0000: An Analysis of the Disposable Phone Numbers Ecosystem”. Investigadores de la Universidad Carlos III de Madrid, IMDEA Software e IMDEA Networks han descubierto un abuso significativo de aplicaciones especializadas conocidas como Public SMS Gateways (PSG), que proporcionan DPN gratuitos, sin necesidad de registrarse o crear una cuenta.

El análisis, realizado a lo largo de 12 meses, supervisó 17.141 DPN únicos en 29 PSG, examinando un conjunto de datos de más de 70 millones de mensajes. Los resultados, que se presentaron en la Conferencia Network Traffic Measurement and Analysis (TMA) 2023, muestran una imagen preocupante de cómo estos DPN, aunque sirven como herramientas para la protección de la privacidad de los usuarios, se explotan para la creación fraudulenta de cuentas y el acceso no autorizado, en particular eludiendo medidas de seguridad como la autenticación de dos factores (2FA).

El estudio es la más completa investigación del ecosistema de las DPN, y profundiza en las relaciones entre los distintos servicios que las ofrecen. Los investigadores construyeron un sólido marco capaz de identificar y clasificar la finalidad de cada SMS, atribuyendo con precisión los mensajes a más de 200 servicios populares de Internet que dependen de los SMS para crear cuentas registradas, entre los que se encuentran: Amazon, PayPal, Uber, WhatsApp, Facebook, Instagram, Google, o Tik Tok, entre otros.

Los resultados ponen de relieve un patrón global de abusos que afecta a las principales plataformas de Internet y servicios en línea en el ámbito de la redes sociales, entretenimiento, educación y finanzas. En algunos casos, los autores pudieron vincular los abusos a bancos, servicios de telecomunicaciones e incluso administraciones públicas. El uso indebido abarca desde la creación fraudulenta de cuentas hasta el acceso no autorizado, con un impacto significativo en la seguridad e integridad de diversas plataformas en línea.

«En los últimos años, los servicios en línea han redoblado sus esfuerzos para combatir la creación de cuentas falsas, la suplantación de identidad y los accesos no autorizados. Esto se ha conseguido principalmente aprovechando los SMS como canal seguro para enviar mensajes de verificación. Nuestro trabajo demuestra cómo el ecosistema DPN está siendo utilizado principalmente para eludir estos mecanismos de seguridad, sin necesidad de un número de teléfono personal. Tomando como referencia un análisis de 2018, observamos un aumento significativo en el uso de DPN para crear cuentas falsas, saltando de miles a millones de mensajes», afirma Srdjan Matic, investigador de IMDEA Software, uno de los autores de este estudio.

Las implicaciones de estas conclusiones exigen una mayor concienciación y medidas de seguridad más estrictas por parte de los proveedores de servicios en línea. Dado que las DPN siguen siendo una opción popular para los usuarios preocupados por su privacidad, el estudio subraya la urgente necesidad de encontrar un equilibrio entre la privacidad del usuario y la protección contra actividades fraudulentas en el cambiante panorama de la seguridad en línea.