Hackers explotan pasarelas SMS para enviar mensajes de texto a millones de números de EEUU

Actualidad

¿Has recibido algún extraño mensaje SMS recientemente?

Si vives en los EEUU, existe una pequeña posibilidad de que recibieras  un SMS con el siguiente texto en los últimos días de alguien llamado “j3ws3r on Twitter”:

I’m here to warn the masses about SMS email gateways. Please look up how to disable it on your phone or call your provider and ask. (Estoy aquí para advertir a las masas sobre pasarelas de correo electrónico SMS. Consulte cómo deshabilitarlo en su teléfono o llame a su proveedor y pregunte).

A juzgar por las respuestas en Twitter, las posibilidades de recibir uno son pocas, aunque también es posible que algunos usuarios de teléfonos ignoren el mensaje y lo borren sin más.

(El texto también comienza con un enlace promocional al controvertido YouTuber PewDiePie, una pista sobre sus orígenes que veremos en breve).

De los pocos destinatarios que acudieron a Twitter para preguntar sobre el mensaje, la mayoría parecen preocupados por cómo los remitentes obtuvieron su número de teléfono móvil.

De hecho, no tenían que hacerlo porque, según Wired, toda la campaña se generó escribiendo un script que genera todos los números de teléfono móvil posibles entre 1111111 y 9999999 y los une a una lista de cada código de área de EEUU.

¿Cómo se enviaron los SMS?

Parece que se usó un solo comando de Unix para enviar los mensajes a pasarelas de correo electrónico a SMS utilizadas por los 26 principales operadores de EEUU, que en teoría los enviarían a números legítimos.

Lo más probable es que la mayoría de ellos filtraron los mensajes, pero el hecho de que algunos pasaron el filtro es el punto central del intento de la campaña: plantear la cuestión de lo fácil que es abusar de estas pasarelas.

Y, sin embargo, las pasarelas SMS están en todas partes, las utilizan legítimamente organizaciones para enviar directamente a los teléfonos de sus usuarios información sobre marketing y servicios.

Es una industria en su mayoría oculta que se ha convertido en un objetivo tentador para las empresas y los ciberdelincuentes por igual, así como para los piratas informáticos que buscan popularidad y advertir sobre fallos de seguridad.

Según Simeon Coney de Adaptive Mobile Security, citado por Wired:

Muchas pasarelas SMS han ampliado sus ofertas para admitir la interacción con secuencias de comandos, con una gama de interfaces API compatibles.

Mostrar cómo se puede abusar de esto es una advertencia de un problema al que los operadores presuntamente hacen la vista gorda, según el SMS:

Decidí hacer esto [como] una forma automática de advertir a todos y, con suerte, promover el cambio en estas empresas.

PewDiePie

Es el último acto de un pequeño grupo de personas que en diciembre pasado secuestraron impresoras que no disponían de una seguridad adecuada para imprimir propaganda en nombre del polémico YouTuber PewDiePie y para piratear los Chromecasts vulnerables de Google.

Esos movimientos, también fueron concebidos como advertencias, aunque más convencionales sobre que demasiadas personas y organizaciones conectan impresoras y Chromecasts a Internet sin pensar en su seguridad.

¿Es posible desactivar las pasarelas SMS? Por lo que podemos decir, a menos que desactivemos completamente los SMS, algo que debe hacerse hablando con el operador o, posiblemente, cambiando la configuración en la aplicación de administración de tu compañía telefónica.

A fin de cuentas, dudaríamos en hacerlo porque también podría deshabilitar SMS útiles como alertas de saldo bancario y posiblemente códigos 2FA que utilizan pasarelas SMTP a SMS.

Sin lugar a dudas, las pasarelas SMS merecen más atención, los problemas spam SMS lo confirman, pero tal vez no sea esta la manera de hacerlo.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.