Web Analytics
Conecta con nosotros

Noticias

Publicidad «inyectada» en mensajes SMS: una terrible ocurrencia

Publicado el
Publicidad "inyectada" en mensajes SMS: una terrible ocurrencia

Antes de nada, sí, esta noticia trata sobre mensajes SMS y no, no has viajado de repente en el tiempo hasta 2005 (ojalá, quién pudiera quitarse 16 años de encima de un plumazo). Seguimos en 2021 y, aunque por norma general los SMS hace ya tiempo que dejaron de ser una herramienta de comunicación habitual entre las personas, siguen teniendo bastante presencia en las comunicaciones entre empresas / entidades y usuarios. Desde Correos para confirmar un envío hasta la Agencia Tributaria confirmando una devolución, este tipo de mensajes siguen estando más presentes de lo que pensamos habitualmente.

Un ejemplo claro de ello, pese a que los expertos en seguridad llevan ya un tiempo desaconsejando su uso, son los mensajes SMS como segunda fase de una autenticación multifactor (2FA o MFA), ya sabes, ese mensaje que recibes cuando intentas acceder a tu cuenta de Google con tu usuario y contraseña, y te pide que introduzcas el código que te va a llevar al móvil. Los expertos, como decía, desaconsejan este medio, pero aún así el SMS sigue estando muy presente para las autenticaciones.

Y esto nos lleva a un tweet publicado hace unas horas por Chris Lacy, en el que muestra una captura de pantalla de un SMS recibido en su teléfono, y que ha dado mucho de qué hablar.

En la imagen, como puedes ver, se muestra precisamente lo que comentaba antes, un código enviado por Google mediante SMS para que Lacy pudiera acceder a una cuenta antigua de Gmail. La primera parte del mensaje es lo que uno esperaría recibir, pero a continuación podemos ver un mensaje publicitario, concretamente sobre un servicio de VPN, que de alguna manera se ha incluido en el SMS con el código de autenticación.

En un primer momento, Lacy ha pensado que esa publicidad era obra de Google, pero ha tardado poco tiempo en recibir varias respuestas de trabajadores de la compañía que lo han negado, y le han preguntado por su operador, pues las sospechas recaen sobre el mismo. Y es que sí, efectivamente, los operadores podrían, si lo desean, introducir elementos en los SMS, al igual que leerlos. Recordemos que los mensajes cortos vienen de tiempos más ingenuos, en los que seguridad y privacidad eran aspectos que apenas se tenían en cuenta.

Ahora bien, que el sistema no ofrezca los estándares de seguridad que serían exigibles hoy en día, no significa que sea adecuado abusar de ello, y menos aún que sea un operador quien, presuntamente, esté sacando partido de ese problema. Y digo presuntamente porque, eso sí, creo importante aclarar que no hay certeza sobre que realmente haya sido el operador quien lo ha hecho.

Por lo pronto, se me ocurre que Lacy tenga algún malware en su smartphone que haya sido el responsable de esta manipulación, o que sea el servicio con el que Google tiene contratado el envío de SMS el verdadero responsable de esta publicidad no deseada y en un lugar en el que no debería aparecer nunca.

Y es que este incidente es un recordatorio más de la inseguridad de los SMS, pues nos recuerda que pueden ser interceptados y manipulados durante su tránsito. Al menos en principio, este caso parece que, dentro de lo malo, no es lo peor, pero si otras partes tienen acceso a los mensajes en los que nos llega una clave de seguridad, un código de seguimiento, etcétera, quizá realmente sí que es el momento despedirse definitivamente de los mensajes SMS también para estos fines.

Publicidad "inyectada" en mensajes SMS: una terrible ocurrencia

Si me dieran una cana por cada contenido que he escrito relacionado con la tecnología... pues sí, tendría las canas que tengo. Por lo demás, música, fotografía, café, un eReader a reventar y una isla desierta. ¿Te vienes?

1 comentario
  • Oclord

    Da miedo esto, lo que no entiendo es como empresas como Google, Apple y Amazon entre otras apuestan por los SMS como método de doble verificación, deberían de tener sus propias apps de verificación, como tiene Google con Authenticator, y obligar a usarlas.

Lo más leído