Según un informe de Mobile Squared, el bombeo de SMS, también conocido como AIT (tráfico inflado artificialmente), es una de las principales preocupaciones de Mensajería A2P industria seguida de un aumento en las tasas de terminación internacional y ofertas exclusivas.

Si bien las empresas innovan continuamente sus estrategias de comunicación con la alta tecnología, la llegada de esta tecnología supone el surgimiento de una nueva forma de fraude conocida como SMS Pumping, una amenaza creciente en la industria de las telecomunicaciones.

Esto es muy frecuente en los SMS, ya que lo mismo se utiliza para casos de uso transaccionales como Verificación por SMS y casos de uso promocional como cupones. Los casos de uso promocional también pueden utilizar los RCS, que son en su mayoría SMS con medios enriquecidos y para los que se obtiene enviado como SMS a través del servidor en lugar de leer los recibos.

¿Qué es SMS Pumping?

El bombeo de SMS, también conocido como bombeo de tráfico de SMS o fraude internacional de reparto de ingresos (IRSF), es un tipo de fraude en el que los ciberdelincuentes manipulan las redes móviles para aumentar los cargos por los mensajes SMS enviados a destinos premium o de alto coste. Esta forma de fraude se dirige específicamente a los formularios y aplicaciones en línea que generan SMS OTP automatizados, lo que la convierte en un importante desafío para las empresas digitales.

Ejemplo de un ataque de bombeo de SMS

En 2022, los clientes de Twilio fueron víctimas de un ataque de envío de SMS. Esto incluía específicamente a las pequeñas empresas que no contaban con las medidas adecuadas. Las que tenían la opción de recarga automática se vieron gravemente perjudicadas. Ahora, Twilio ofrece herramientas de protección como la protección contra el fraude de verificación de Twilio y la protección contra el envío de SMS.

Las complejidades del fraude por envío de SMS

El bombeo de SMS es un esquema relativamente complejo. En estos ataques, los estafadores envían mensajes SMS a un rango de números controlados por un operador de red móvil (MNO) específico. Al trabajar con un MNO, un defraudador puede utilizar sistemas automatizados para enviar miles de mensajes de texto a destinos costosos, lo que aumenta el coste del ataque para una empresa y, por lo tanto, se convierte en 'Tráfico inflado artificialmente». Luego es responsable de cubrir los cargos fraudulentos por SMS.

Los peligros del bombeo de SMS

El fraude por envío de SMS puede adoptar muchas formas. Los ataques pueden dirigirse a los formularios web que solicitan a un consumidor un número de teléfono móvil a cambio de descuentos en productos o suscripciones. Otro vector de ataque son los sitios web que envían códigos de acceso únicos, p. ej. MEJORES SMS para intentos de inicio de sesión. En cualquier caso, la empresa podría terminar enviando miles de mensajes a destinos de SMS o números de teléfono con tarifas más altas, lo que provocaría importantes daños económicos.

Ahora, la integración de OTP SMS API es muy fácil y los proveedores como Message Central te permiten evite el registro de DLT en la India y A2P 10DLC en EE. UU., puedes empezar en cuestión de minutos. Todo esto ha llevado a muchas marcas a adoptar el SMS OTP para la autenticación de los usuarios, lo que las ha hecho bastante vulnerables a este tipo de ataques.

Reconocer las señales de fraude por envío de SMS

La detección del bombeo de SMS requiere vigilancia y una acción rápida. Estas son algunas estrategias para descubrir las señales de advertencia:

1) Supervise los grandes volúmenes de intentos de inicio de sesión incompletos.

2) Esté atento a las entradas de números adyacentes en rápida sucesión.

3) Busque picos de tráfico inesperados.

4) Busque que se envíen una gran cantidad de mensajes a países inusuales o de alto costo como Rusia, Ucrania, Kazajstán, Irak, Kuwait, etc.

5) Alertas de presupuestos por SMS.

Medidas proactivas contra el bombeo de SMS

Para protegerse contra el envío de SMS, las empresas pueden adoptar ciertas prácticas, como establecer límites de mensajes, utilizar la autenticación de dos factores (2FA) o la autenticación de varios factores (MFA) para los servicios premium y utilizar un CAPTCHA para detener el tráfico de bots.

Limitación de velocidad: al limitar la cantidad de mensajes que se pueden enviar desde una única fuente en un período determinado, las empresas pueden mitigar eficazmente el riesgo de ataques de envío de SMS.

Lista de bloqueo: al crear una lista de países bloqueados, puedes evitar que se envíen mensajes a números de esas áreas.

Detecta y disuade a los bots con CAPTCHA: Los estafadores suelen utilizar bots malintencionados, que son software diseñado para automatizar las tareas en línea. El uso de CAPTCHA puede detectar y disuadir eficazmente a los bots de que se infiltren en su sistema de SMS.

El papel del proveedor de comunicaciones

Proveedores de comunicación como Central de mensajes, y otros también desempeñan un papel crucial en la lucha contra el envío de SMS. El proveedor suele proporcionar herramientas y asistencia para evitar y hacer frente al envío de SMS, especialmente en el caso de los proveedores de servicios OTP.

Conclusión

El envío de SMS es una amenaza grave que puede causar importantes daños financieros a las empresas a través del fraude telefónico. Sin embargo, con una comprensión integral de la amenaza, una supervisión diligente y medidas de protección proactivas, las empresas pueden reducir significativamente el riesgo de ser víctimas de esta forma de fraude. La adopción de estas estrategias no solo protegerá a las empresas de costes innecesarios, sino que también evitará que los delincuentes se beneficien, manteniendo así la integridad y la fiabilidad de los SMS como canal de comunicación preferido.