Bug en el servicio SMS (remitente personalizado)
Desde hace muchos años tengo conocimiento de una característica desconcertante del servicio SMS. Una característica que más de uno pensará -como yo- que es un bug. Un fallo de seguridad de base.
Este bug no es un hack, ni nada avanzado. Es una característica del servicio SMS muy poco conocida, que no se suele mencionar, pero que sin embargo ahí está disponible para cualquiera.
Para usarlo solo hace falta contratar el servicio adecuado, por Internet hay varias empresas que lo ofrecen por unos céntimos. Cualquier usuario intermedio, tras leer este articulo -y conocer alguna de estas empresas- podría hacer uso de ello.
El bug/característica es el siguiente:
Cualquier persona puede enviar un SMS a otra con un número de remitente "personalizado". Sin validación de ningun tipo.
Lo de "personalizado" es la clave. En verdad es un eufemismo que suaviza lo que realmente significa: suplantación. Parece inofensivo, pero no lo es.
Te deberías preguntar... ¿Como? ¿Si me llega un SMS no puedo saber a ciencia cierta quien lo ha enviado? Pues no. Puede ser cualquiera.
De hecho, cualquier persona que conozca tu numero puede enviar SMS a diestro y siniestro con tu numero. Sin que haya forma de distinguirlo. Con total seguridad creerán que lo has enviado tu y difícilmente creerán lo contrario.
Y me pregunto yo... ¿qué objetivo tiene esta "característica"? ¿Qué necesidad hay? No tiene ni pies ni cabeza. No puede ser una limitación técnica porque si pueden cobrar pueden identificar. ¿Cual es la ventaja? Para mi no tiene sentido.
Inconvenientes tiene muchos. Por costumbre social se otorga total credibilidad al remitente de un mensaje SMS, cuando en realidad es pisar barro.
Otro inconveniente es que muchos servicios web se apoyan en el servicio SMS. Algunos incluso confían la verificación o recuperación de usuario en este sistema. Lo cual implica que cualquiera que averigüe tu número de teléfono podrá hacerse con tu usuario.
Un ejemplo de este problema es que rechacé la validación de ciudadanos de VirtualPol mediante SMS pues no aportaba ninguna seguridad.
Otro ejemplo. En 2007 comprobé el alcance real consiguiendo dejar esta nota en Menéame con otro usuario (tras testear el problema, acto seguido avisé del problema). Sinceramente, pensé que no sería posible, pero el agujero de los SMS es así de basto y sencillo.
En definitiva. No se quien ha diseñado esto de los SMS, pero me resulta muy difícil de imaginar la razón por la cual las operadoras permiten remitentes personalizados. No es más que una fuente de problemas, que a priori nadie se imagina.
| Twittear |
|
Artículos relacionados:
-
+2
hackbot 2011-04-11 19:41:51
como llevo unos 7 aƱos usando estos servicios (que son legales por cierto) te comentare unas cositas, una de ellas esque hay una forma de saber si el sms que has recibido ha sido desde el movil que lo envia, o han usando un servicio con remitente personalizado, tambien te dire que no todos los moviles se comen ese bug, o sea que no te muestran el nombre de la persona que te ha enviado el sms al coincidir remitente con uno de los numeros de esta, y por ultimo, hay una forma de hacer que tu movil sea inmune a esos sms, y con inmune me refiero a que hagan lo que acabo de decir de no mostrar nombre, sino numero simplemente, y asi detectar que no es esa persona, al menos no desde su movil, ya sabes donde estoy si quieres saber como se hace (que por otra parte como dices, cualquier usuario usando la logica sabria como hacer todo eso)
Artículo escrito por GONZO para Blogs Teoriza.
Bug en el servicio SMS (remitente personalizado), otro enviar numero texto mensaje