¿Por qué los mensajes de texto SMS no son privados ni seguros?
Podrías pensar que cambiar de Facebook Messenger o WhatsApp a los antiguos mensajes de texto ayudaría a proteger tu privacidad. Pero los mensajes de texto SMS estándar no son muy privados ni seguros. Los SMS (Short Message Service) son como el fax: un estándar antiguo y obsoleto que se niega a desaparecer.
Tu proveedor de telefonía móvil puede ver tus mensajes SMS
Con los SMS, los mensajes que envías no están cifrados de un extremo a otro. Tu proveedor de telefonía celular puede ver el contenido de los mensajes que envías y recibes. Esos mensajes se almacenan en los sistemas de tu proveedor de telefonía celular. Por lo tanto, en lugar de que una empresa de tecnología como Facebook vea tus mensajes, tu proveedor de telefonía celular puede ver tus mensajes.
Los operadores de telefonía celular almacenan el contenido de esos mensajes durante varios períodos de tiempo. Los mensajes a menudo solo se conservan durante varios días, pero almacenan metadatos durante más tiempo. Por ejemplo, qué número envió un mensaje a qué número y a qué hora. Estos registros podrían estar sujetos a procedimientos legales. Por ejemplo, los registros de mensajes de texto son una forma común de evidencia en los casos de divorcio.
Comparando esto con una aplicación de chat cifrada de extremo a extremo como Signal, Signal no almacena el contenido de tus comunicaciones. Signal ni siquiera sabe con quién estás hablando. Los datos de tu conversación solo se almacenan en tu dispositivo y en el dispositivo de la persona con la que hablas, eso es todo.
Aparte de eso, ¿deberías confiar tus conversaciones a tu proveedor de telefonía móvil? Bueno, en 2019, se reveló que AT&T, Sprint y T-Mobile estaban vendiendo datos de ubicación de clientes a terceros. Fue utilizado por todos, desde fiadores hasta cazarrecompensas maliciosos. (Después de que esto se reveló en las noticias, los operadores de telefonía celular prometieron detenerse).
¿Quieres que esas empresas vean todos los contenidos de tus conversaciones personales?
Los mensajes SMS pueden ser interceptados por ciberdelincuentes
Pero los SMS se utilizan por motivos de seguridad, ¿verdad? Hay una razón por la que todos los bancos e instituciones financieras confían en los mensajes SMS para verificar tu identidad, ¿verdad?
Bueno, sí, hay una razón. Pero esa razón no se debe a la seguridad. Es solo que todos tienen un número de teléfono. Requerir confirmación por SMS agrega algo de seguridad adicional. Incluso si SMS no es particularmente seguro, al menos asegura que un atacante tenga que interceptar un mensaje SMS además de ingresar tu contraseña.
Los mensajes SMS se pueden interceptar. Las redes de telefonía móvil de todo el mundo están conectadas entre sí a través del protocolo Signalling System No 7 (SS7). Así es como tu teléfono puede conectarse a una red celular y hacer y recibir llamadas, incluso cuando estás en otro país,
El sistema SS7 ha sido atacado repetidamente por hackers que espiaron mensajes SMS o los interceptaron. Esto es particularmente útil cuando se comprometen cuentas bancarias. Por ejemplo: los atacantes pueden espiar los códigos de verificación que generalmente se envían por SMS, usarlos para acceder a cuentas bancarias y vaciarlas.
Es por eso que los profesionales de la seguridad recomiendan no usar SMS para la autenticación de dos factores. Una aplicación que genera códigos en tu dispositivo o una clave de seguridad física es mucho más segura. (Sin embargo, si SMS es la única opción que tienes disponible, SMS es mejor que nada).
Los mensajes SMS pueden ser monitoreados por las autoridades
Los gobiernos de todo el mundo tienen acceso a “Stingrays”, dispositivos que esencialmente se hacen pasar por una torre celular. Cuando se colocan cerca de tu ubicación física, estos engañan a tu teléfono para que se conecte a ellos. Tal como tu teléfono se conectaría a una torre celular normal. El dispositivo Stingray puede rastrear tus movimientos y ver tus mensajes de texto SMS, al igual que tu operador de telefonía celular.
Más allá de la supervisión local, los mensajes SMS también se pueden incluir en sistemas de vigilancia más grandes. Según documentos publicados por Edward Snowden en 2014, la NSA recopilaba en ese momento más de 200 millones de mensajes de texto al día de todo el mundo.
Los servicios de inteligencia de otros países también tienen acceso a Stingrays y tecnología de monitoreo de SMS. Por lo tanto, está claro por qué las aplicaciones de comunicación cifradas como Signal y Telegram son populares entre activistas que viven bajo regímenes represivos. Por ejemplo, Telegram y Signal están prohibidos en Irán.
Tu número de teléfono es sorprendentemente fácil de secuestrar
Más allá de los SMS, los números de teléfono en realidad tienen muy poca seguridad, a nivel de operador. Un estafador puede llamar a tu proveedor de telefonía celular o ir a una tienda y hacerse pasar por ti. Si el estafador tiene suficientes detalles y engaña a los representantes de servicio al cliente de tu proveedor, ellos pueden controlar tu número de teléfono.
Es posible que el operador “transfiera” tu número de teléfono a un proveedor de telefonía celular diferente. Tal como lo harías si te cambiaras a otro proveedor de telefonía celular. O pueden hacer que el proveedor emita una nueva tarjeta SIM vinculada a tu número de teléfono. Después desactivará tu tarjeta SIM existente, eliminando el acceso a tu número de teléfono.
Ahora el atacante tendría tu número de teléfono. Con eso, pueden obtener acceso a cuentas protegidas por autenticación de dos factores basada en SMS. Para un estafador individual, engañar a una persona de servicio al cliente es más fácil que hackear SS7, después de todo. Esto se denomina “estafa de port-out” o “ataque de intercambio de SIM“.
A menudo, puedes proteger tu número de teléfono agregando un PIN y funciones de seguridad adicionales con tu proveedor de telefonía celular. Debes consultar con tu proveedor de telefonía celular para ver qué funciones de seguridad ofrecen para protegerse contra este tipo de estafas.
iMessage y RCS: ¿mejor que los SMS?
La aplicación Messages en iPhone admite SMS y el servicio iMessage de Apple. En Android, cada vez más teléfonos tienen soporte para el estándar más moderno Rich Communication Services (RCS). Ambos están diseñados para “actualizar” silenciosamente las conversaciones de mensajes de texto a conversaciones más modernas y seguras. Esto cuando ambas personas utilizan dispositivos que las admiten. Entonces, ¿cómo se comparan con los SMS?
iMessage de Apple se suma a los SMS en cierto sentido, utilizando números de teléfono como identificadores. Si tanto tú como la persona a la que deseas enviar un mensaje de texto tienen iPhones y han habilitado iMessage, cualquier mensaje de texto que envíes se enviará como un iMessage.
Estos se cifran de extremo a extremo y se envían a través de los servidores de Apple. Sabrás que estás utilizando iMessage porque los mensajes tendrán burbujas azules. Si ves burbujas verdes en su lugar, la aplicación Mensajes está usando SMS. Esto porque estás enviando mensajes a alguien sin iMessage, probablemente una persona que es un usuario de Android.
El estándar RCS que se está impulsando para los usuarios de Android no admite cifrado de extremo a extremo en enero de 2021. Este debes considerarlo como el equivalente de Google/Android al iMessage de Apple. En noviembre de 2020, Google estaba trabajando para agregar el cifrado de extremo a extremo a RCS. Eso significa que, incluso con ese nuevo y elegante sistema RCS en tu teléfono Android no hay privacidad. Tu operador de telefonía celular aún puede ver el contenido de los mensajes que envías, al igual que con los SMS.
Resumen de los problemas con los SMS
Resumamos rápidamente los problemas con los SMS y comparémoslo con una aplicación de chat cifrada de extremo a extremo segura como Signal.
Con SMS:
- Tu operador de telefonía celular puede ver el contenido de los mensajes que envías y recibes. Cualquier registro recopilado podría ser usado en procedimientos legales.
- Los ciberdelincuentes pueden interceptar los mensajes SMS debido a las vulnerabilidades del viejo y desvencijado protocolo que los administra. Esto pone en riesgo las cuentas financieras y de otro tipo.
- Las autoridades pueden desplegar Stingrays para espiar el contenido de los mensajes de texto en un área.
- Los estafadores pueden intentar robar tu número de teléfono celular engañando al personal de servicio al cliente de tu proveedor de telefonía celular.
Con Signal, por ejemplo:
- Tu operador de telefonía celular no puede ver el contenido de tus mensajes. Ni siquiera Signal puede ver el contenido de tus mensajes o con quién te estás comunicando; eso sigue siendo un secreto. Signal no recopila estos datos. Si es forzado por una orden legar, Signal no puede revelar casi nada sobre tu uso del servicio.
- Los hackers no pueden apropiarse de los mensajes de Signal de forma realista. Tendrían que comprometer el protocolo de cifrado de Signal, que los expertos en seguridad consideran excelente. (Por el contrario, SS7 se ha visto comprometido repetidamente).
- Los Stingrays no pueden ver tus conversaciones. Las autoridades no pueden espiar el contenido de los mensajes de Signal, no sin tener en sus manos un teléfono que los contiene. Todo lo que pueden ver es el tráfico cifrado que se envía y recibe a los servidores de Signal.
- Un ataque de intercambio de SIM que capture tu número de teléfono no otorgaría acceso a tu cuenta de Signal. Puedes proteger tu cuenta de Signal con un PIN, por lo que un estafador no puede simplemente acceder a tu cuenta de Signal. Incluso si el estafador pudiera de alguna manera adivinar tu PIN y acceder a su cuenta de Signal, no puede hacer mucho. Tus mensajes de Signal se almacenan en tu teléfono y no se sincronizan con ningún dispositivo nuevo que obtenga acceso a tu cuenta.
¿Qué deberías usar?
Usamos Signal como ejemplo aquí, ya que el contraste es muy marcado. Signal es la aplicación de mensajería privada más recomendada, con cifrado de extremo a extremo siempre activo.
Si tienes un iPhone, comunicarte con iMessage es mucho más privado y seguro que usar SMS simples. Con suerte, los usuarios de Android algún día tendrán mensajes cifrados de extremo a extremo seguros integrados en sus dispositivos. Esto después de que se realicen mejoras en RCS. Desafortunadamente, iMessage y RCS no son compatibles entre sí. Por lo tanto, los teléfonos iPhone y Android tendrán que comunicarse por SMS o cambiar a diferentes aplicaciones de mensajería que no están integradas.
Otras aplicaciones de mensajería también son una opción. Telegram es popular, aunque no usa cifrado de extremo a extremo de forma predeterminada. WhatsApp al menos utiliza cifrado de extremo a extremo de forma predeterminada, a diferencia de Facebook Messenger. Esto si confías en una aplicación de mensajería operada por Facebook. Pero incluso Facebook Messenger es posiblemente más seguro que los SMS. Confías en Facebook tus mensajes, pero al menos no tienes que preocuparse por los problemas del antiguo y chirriante protocolo SS7.
Para la seguridad de dos factores, es mejor evitar los SMS para tareas realmente críticas. Desafortunadamente, algunos servicios recurrirán a la autenticación por SMS de todos modos, por comodidad. A veces hay alternativas. Por ejemplo, Google ofrece protección avanzada para periodistas, activistas, líderes empresariales y políticos que necesitan la máxima seguridad para sus cuentas y requiere el uso de una llave de seguridad física. Dicho esto, la seguridad de dos factores basada en SMS sigue siendo mejor que nada.
El futuro de los SMS: ¿se solucionará alguna vez?
SMS es una tecnología obsoleta. Claramente, no se construyó teniendo en cuenta la privacidad y la seguridad, y esas decisiones de diseño todavía están presentes actualmente.
Con suerte, esto se solucionará en el futuro. Si RCS se mejora, obtiene cifrado de extremo a extremo y está disponible en todos los teléfonos Android, todo cambiará. Entonces todo lo que Apple tendría que hacer es aceptar que RCS sea compatible con iMessage de alguna manera. Entonces, todos los teléfonos inteligentes modernos tendrían mensajería segura que no depende de protocolos antiguos integrados.
Por ahora, es mejor evitar los mensajes de texto si te preocupa tu privacidad o la seguridad de tus cuentas.