IR A PLUSMOBILE.COM

Etiqueta: redesmoviles

El impacto económico de los fraudes de SIM Swapping

17 mayo, 2024 by plusmo

En otra nota explicamos detalladamente cómo es que los delincuentes logran concretar el intercambio de SIM. A grandes rasgos se puede decir que utilizan técnicas de ingeniería social, se hacen pasar por la víctima ante el operador de telefonía móvil (para lo cual usan los datos que obtuvieron) y se las ingenian para engañar a los empleados de la telefónica para que les emitan una nueva tarjeta SIM con su número.

Este tipo de fraude puede afectar tanto a los particulares como a las empresas. Si los delincuentes toman el control del número de móvil de un empleado, por caso, podrían usarlo para restablecer las contraseñas de las cuentas en línea de la compañía, interceptar códigos 2FA (factores de autenticación)  y realizar transacciones fraudulentas.

Impacto mayor

El costo generado por este tipo de amenaza se incrementó de manera constante durante los últimos cinco años. Por ejemplo, una estimación indica que, mientras que en 2019 el costo global ascendió a U$S 1000 millones, en 2023 ya había alcanzado los U$S 6.500 millones.

Según este análisis, en 2023 el costo habría llegado a U$S 2.500 millones en Estados Unidos, a U$S 1000 millones en el Reino Unido, a U$S 700 millones en India y a U$S 500 millones tanto en China como en Japón.

De todas formas el analista que elaboró la estimación destacó que es probable que el impacto haya sido incluso mayor, ya que muchas víctimas particulares no suelen denunciar el delito, y muchas empresas no revelan el daño ocasionado, entre otras cosas, porque el hecho de informar que fueron vulneradas puede afectar su reputación.

Sea como fuere, la realidad es que hasta aquí las cifras informadas por los organismos oficiales fueron bastante menores. Por ejemplo, en 2021 el FBI anunció que los ciudadanos estadounidenses perdieron más  U$S 68 millones debido a los ataques de intercambio de SIM, derivados de un total de 1611 ataques (lo que da un promedio superior a U$S 42 mil por ataque). Este dato representaba un aumento del 400% en las quejas recibidas en comparación con los tres años anteriores. Luego en 2022 el FBI informó que las pérdidas ascendieron a U$S 72 millones, con más de 2000 víctimas de este tipo de fraude.

Casos que preocupan

Algunos casos indican que la sofisticación de estos ataques también crece.  Por ejemplo, en 2022 se produjo al mayor robo de criptomonedas de la historia mediante SIM swapping, que involucró unos U$S 400 millones.

Por su parte en octubre de 2023 se informó el caso de un estafador que se llevó U$S 385 mil en criptomoneda Ether. Y un mes más tarde se conoció el robo de más de 110 mil euros a 15 personas mediante la duplicación de tarjetas SIM en las provincias de Valencia y Alicante, España.

A fines de 2023 también fue detenida una banda en la ciudad de Córdoba, Argentina, acusada de haber montado una organización que efectuaba estafas de SIM swapping en diferentes provincias del país. Esta banda se apoderaba de las líneas telefónicas ajenas utilizando documentación apócrifa. Simulando ser los reales propietarios de la línea, llamaban a las compañías y aducían que habían perdido el teléfono o que se lo habían robado, por lo que solicitaban un nuevo chip con el mismo número (tarjeta SIM) y que se diera de baja el anterior”.

Para prevenir estos delitos es importante que se trabaje sobre la concientización de los particulares y los empleados de las empresas. También es fundamental que se refuercen las políticas de seguridad de la información de las organizaciones. En otro artículo ya explicamos cómo evitar que los clientes de los bancos sean víctimas de este tipo de fraude.

Últimamente los operadores celulares vienen llevando adelante acciones para prevenir y combatir el SIM swapping, apoyándose en integradores como Plusmobile que ofrece una aplicación específica (API Verify) para protegerse contra estos ataques. Esta herramienta ofrece la posibilidad de verificar un eventual intercambio de SIM en todos los servicios que generan un OTP para autorizar transacciones.

Desde Plusmobile trabajamos activamente con las tres compañías de telefonía móvil que operan en el mercado argentino para ofrecer nuestra solución a bancos y empresas. En el corto plazo promoveremos su implementación en otros países de la región, como Perú, Colombia, Paraguay y Uruguay.

 

 

 

Bancos: cómo proteger a los usuarios frente al avance del SIM Swapping

24 abril, 2024 by plusmo

Mediante el SIM swapping los delincuentes toman el control de la tarjeta SIM de una persona sin su autorización, para usurpar su identidad y acceder a sus cuentas en línea.

El incremento de esta clase de fraude no es responsabilidad directa de los bancos. Pero sus clientes pueden verse muy perjudicados, ya que cada vez son más los que operan con sus cuentas a través de sus celulares. Al respecto basta decir que un estudio reciente realizado en siete países latinoamericanos encontró que el 88% de las personas usan sus teléfonos móviles para realizar transacciones y la mayoría (55%) prefiere usar un canal móvil para abrir una cuenta.

Frente a este panorama para las entidades financieras el gran tema es cómo reconocer el caso en que el número de celular de un cliente fue intercambiado de forma delictiva y transferido a un nuevo dispositivo, de forma tal de poder bloquear automáticamente a un cliente para que no reciba un OTP si se determina que corre riesgo de sufrir un fraude.

Medidas posibles

Obviamente en estos contextos los propios clientes bancarios también deben estar atentos y tomar sus propias precauciones, y es importante que se genere conciencia al respecto. En tal sentido es fundamental que mantengan la información personal segura y tengan cuidado con las llamadas o mensajes sospechosos que soliciten datos personales o cambios en la cuenta telefónica.

Pero, por otro lado, para detener esta amenaza las entidades financieras deberían implementar controles de intercambio de SIM en todos los servicios que generan un OTP para autorizar transacciones. Es decir: los bancos pueden implementar controles de seguridad antes de enviar un OTP al número de teléfono de una persona; para ello pueden aprovechar los datos móviles disponibles, como el historial de intercambio de SIM de un número de teléfono, detectar intercambios de SIM y generar señales de alerta.

El rol de los Operadores Celulares

El punto es que los datos antedichos pertenecen a los operadores de telefonía móvil. Por lo tanto, para concretar estos controles, las entidades financieras tendrán que generar alianzas con los operadores de telefonía móvil. Al acceder a esa información los bancos luego podrán recurrir a herramientas de detección de fraude que les permitan analizar los datos históricos de la red móvil de los clientes, lo que a su vez les ayudará a verificar la autenticidad de las transacciones y comunicaciones.

De hecho, los operadores telefónicos ya vienen realizando acciones para prevenir y combatir el SIM swapping. Entre otras cosas lanzaron diferentes normas y procedimientos dirigidos a procesar y proveer a empresas homologadas la información crítica sobre el comportamiento de sus usuarios, que puede servir para evitar estos fraudes.

Desde Plusmobile trabajamos en alianza con estos operadores y podemos ayudar a los bancos con nuestra solución API Mobile Verify, que permite saber si hubo un cambio del chip SIM en los últimos 90 días e informa la fecha en que sucedió. Además, permite saber si hubo un cambio de un operador a otro, y la fecha de activación en el operador celular actual. Al mismo tiempo estamos avanzando con un desarrollo más integral de verificación de identidad (mobile identity) que chequea que el celular sea utilizado por la persona dueña de la línea sin duplicaciones. Estas soluciones están orientadas al mercado bancario y fintech y ayudan a resguardar la seguridad de las cuentas de los clientes de las entidades financieras.

 

 

El poder de la verificación por SMS: proteger las interacciones en línea

15 abril, 2024 by plusmo

Cada vez más empresas utilizan esta alternativa de verificación, al punto que en 2022 el mercado mundial de mensajería A2P tuvo un valor de casi U$S 67 mil millones, y se espera que crezca a una tasa de crecimiento anual compuesta de prácticamente 5% entre 2023 y 2030.

En esencia esta solución consiste en el uso de mensajes de texto (SMS) para confirmar la identidad de un usuario. El mecanismo es sencillo: el usuario recibe un código numérico de un solo uso a través de un SMS en su teléfono celular registrado, y con él procede a verificar su identidad.

Mitigar riesgos

Este servicio ayuda a mitigar el riesgo de robos de identidad, de accesos no autorizados y de violaciones de datos. Si bien cuando se habla de ciberseguridad no existe una herramienta 100% segura, este la verificación por SMS presenta todo un conjunto de ventajas frente a otras alternativas como, por ejemplo:

  • Ofrece una capa extra de seguridad y mitiga las vulnerabilidades propias de las contraseñas.
  • Resulta económico.
  • Es fácil de implementar y de usar.
  • Facilita una verificación de identidad inmediata.
  • Es accesible para prácticamente todos los poseedores de un teléfono celular, sin necesidad de agregar hardware o software adicional.

Casos de uso

La verificación vía SMS fortalece los procesos de autenticación de usuarios en las interacciones online y ofrece experiencias fluidas.   Actualmente tiene múltiples casos de uso y se utiliza muy comúnmente como parte de los procesos de autenticación de dos factores(2FA).

Por ejemplo, en la banca y las finanzas ayuda a verificar rápida y fácilmente la identidad de los usuarios y refuerza la seguridad de las transacciones mediante códigos de un solo uso (OTP). En tales casos, por ejemplo, permite verificar nuevos usuarios antes de crear una cuenta, y también habilita a reestablecer contraseñas. Además, se usa para confirmar transacciones de alto valor.

Al mismo tiempo en la actualidad la verificación vía SMS tiene un amplio uso para confirmar el registro o acceso en apps móviles y en sitios web. En tal sentido, es muy utilizada en operaciones de comercio electrónico.

Por otra parte, los SMS también se emplean para enviar notificaciones oportunas a los clientes en múltiples industrias, en contextos en que se necesita establecer un canal de comunicación seguro entre usuarios y proveedores de servicios. De hecho, se espera que este año más del 50% del tráfico de SMS esté destinado a cuestiones de autenticación.

En Plusmobile ofrecemos un servicio de envíos masivos corporativos de SMS transaccionales desde hace casi 20 años. Este servicio ofrece múltiples diferenciales operativos y de seguridad, como conexiones directas con operadores celulares y precios competitivos, números cortos exclusivos habilitados con todos los operadores móviles, chequeo de portabilidad numérica antes de enviar SMS y reportes con confirmación de entrega, entre otras ventajas. Además, en Plusmobile desarrollamos una solución específica contra los ataques de intercambio de SIM, lo que agrega una capa de seguridad extra a nuestro servicio.

 

 

Fraudes frecuentes en empresas Fintech y cómo combatirlos

8 abril, 2024 by plusmo

Lejos de entrar en pánico, es necesario conocer estas amenazas y diseñar estrategias de mitigación. Lo peor que puede hacerse es convertir a este tema en un tabú. Además, actualmente existen tecnologías avanzadas que colaboran en la detección, como la inteligencia artificial (IA), el aprendizaje automático (ML), la biometría y el análisis del comportamiento que se combinan para detectar patrones y actividades inusuales que podrían indicar fraude.

Hay amenazas como el phishing y los robos de identidad que son bastante conocidas y suelen presentarse con frecuencia en este campo, al igual que en el sistema financiero en general. Pero las fintech están sujetas a otros tipos de fraudes más específicos que es necesario comprender para poder prevenir.

Por ejemplo, el fraude de billetera móvil busca atacar plataformas de e-wallets para obtener acceso no autorizado, realizar transacciones falsas o explotar debilidades en la seguridad. Para prevenirlo las fintech deben implementar sistemas de autenticación biométrica, cifrado y detección de fraude; y los usuarios también deben tener cuidado con los enlaces que reciben, las aplicaciones que descargan y la información que comparten.

En el universo fintech también es frecuente el fraude de identidad sintético, que implica la combinación de datos personales reales con otros fraudulentos para crear una identidad “sintética” que luego se utiliza para establecer perfiles crediticios, abrir cuentas y participar en actividades financieras. Para prevenir esta clase de amenaza hay que proteger los datos personales y financieros contra el robo de identidad y verificar las identidades de nuevos clientes a través de diversas fuentes. Para detectar identidades sintéticas también puede usarse análisis y aprendizaje automático.

Accesos no autorizados

Otro tipo de fraude común en el universo fintech es la adquisición de cuenta, que implica el acceso no autorizado mediante credenciales robadas a través de violaciones de datos o ataques de phishing. Los delincuentes manipulan la configuración de la cuenta, inician transacciones no autorizadas y explotan los servicios financieros asociados. Se puede mitigar con renovación periódica de contraseñas y autenticación multifactor, habilitando alertas para actividades anómalas; también se debe verificar cada tanto la configuración de la cuenta.

El fraude de pagos es otra clase de amenaza que implica desvíos de fondos de usuarios (obviamente no autorizados) o manipulación de pagos. Para evitarlo hay que cifrar los canales de pago, contar con protocolos de verificación sólidos y recurrir a la autenticación multifactor; además se deben monitorear las transacciones para descubrir actividades inusuales. Para detectar esta amenaza y responder velozmente hoy también se tiende a usar inteligencia artificial.

Actitud proactiva

Las estadísticas actuales muestran que las fintech experimentan una tasa de fraude promedio del 0,30% (el doble que la de tarjetas de crédito, y el triple que la de débito). Y un estudio indica que los tipos de fraude que se encuentran con mayor frecuencia en el universo fintech son dos: el fraude de primera parte (58%), que es perpetrado por un titular de cuenta en su propio nombre y sin robo o tergiversación de identidad; y el robo de identidad (58%); luego siguen el fraude de pagos (50%), la apropiación de cuentas o relleno de credenciales (41%) y el fraude de identidad sintética (30%).

Frente a este escenario resulta imperioso que las fintech atiendan a las mejores prácticas y realicen esfuerzos de monitoreo continuo, además de cumplir con las normas AML / KYC y diseñar procesos de incorporación estrictos. Desde Plusmobile colaboramos con las firmas del sector ofreciendo distintas soluciones que refuerzan la seguridad en los procesos de comunicación omnicanal con sus clientes.

 

 

La evolución del Phishing – nuevas tendencias

3 abril, 2024 by plusmo

Un estudio de 2023 indica que las estafas de phishing representaban casi el 36% de todas las filtraciones de datos. Y según otra investigación, el 71% de todas las empresas experimentaron un ataque de phishing exitoso en ese mismo año.

Estos indicadores demuestran que el phising continúa siendo una de las principales herramientas que utilizan los atacantes para acceder de forma no autorizada a las infraestructuras informáticas y a los datos críticos de las personas y las empresas.

Por ejemplo en 2023 según un relevamiento el 43% de todos los ataques exitosos orientados a organizaciones emplearon ingeniería social, y el 79% de ellos se canalizaron a través de correo electrónico, SMS, redes sociales y aplicaciones de mensajería.

Este tipo de ataques no solo generan daños a la reputación de las organizaciones, sino que también pueden causar importantes pérdidas económicas derivadas del robo de información y datos confidenciales.

Actualmente los tres objetivos principales de los ataques de phishing incluyen:

  • Recolección de contraseñas.
  • Ataques telefónicos (buscan manipular a las víctimas para que llamen a un número de teléfono específico).
  • Estafas: los mensajes imitan a alguien que la víctima conoce, o en quien confía, para que realice acciones sin necesidad de enlaces o archivos adjuntos maliciosos.

No obstante lo antedicho, según un estudio en el 50% de los casos los enlaces de phishing todavía suelen conducir a páginas falsas para la introducción de datos. Y el correo electrónico sigue siendo el canal más común para enviar mensajes maliciosos (92% de los casos), aunque las aplicaciones de mensajería y las redes sociales se usan cada vez más para canalizar estos ataques.

Nuevas modalidades

El phishing fue evolucionado desde simples estafas por correo electrónico hasta métodos sofisticados que involucran inteligencia artificial (IA), redes sociales y plataformas móviles.

Las nuevas versiones buscan explotar la psicología y la confianza humanas. De esta manera fueron surgiendo modalidades como el spear phishing, en la que los atacantes emplean meticulosas técnicas de investigación para recopilar información sobre sus objetivos y crean correos electrónicos altamente sofisticados y personalizados. Otra clase de phishing novedosa es la “caza de ballenas”, que se dirige a ejecutivos de alto nivel y está diseñado “para explotar la autoridad y el acceso y los privilegios que poseen estos individuos”; en estas estafas los atacantes pueden hacerse pasar por colegas, socios comerciales o autoridades reguladoras.

En paralelo surgieron otras modalidades como el phishing móvil, por SMS (smishing) y de voz (vishing); también apareció el phishing a través de motores de búsqueda y en redes sociales.

Otra tendencia cada vez más vista es que los ciberdelincuentes crean correos electrónicos y mensajes engañosos que imitan comunicaciones legítimas de proveedores de servicios en la nube. E incluso empezaron a aparecer casos de phishing en Internet de las cosas (IoT), aprovechando que estos dispositivos suelen carecer de funciones de seguridad sólidas.

Panorama actual y futuro

Actualmente en los mercados oscuros se venden cada vez más kits de phishing ya listos para preparar y ejecutar ataques de esta naturaleza.  Y también avanza el modelo el phishing como un servicio subcontratado.

Algunos analistas entienden que la dirección principal de la evolución del phishing es la automatización de la preparación y ejecución de ataques utilizando herramientas de inteligencia artificial (por ejemplo para mantener diálogos relevantes con sus objetivos, generar mensajes de phishing convincentes y crear falsificaciones de voces, imágenes y videos”.

El uso de inteligencia artificial (IA) en las estafas de phishing está en auge y permite a los delincuentes analizar grandes volúmenes de datos y obtener información sobre los estilos y preferencias de comunicación personal. De esta forma elaboran mensajes súper personalizados que parecen muy realistas. Al mismo tiempo los atacantes utilizan cada vez más la tecnología deepfake para crean audios y videos falsos y convincentes y hacerse pasar por personas de confianza.

Desde Plusmobile instamos a las organizaciones a permanecer alertas a este tipo de amenazas y a concientizar al personal sobre las nuevas formas que están adoptando estos ciberataques.

 

 

Cómo elegir un buen proveedor de envíos masivos de SMS

26 marzo, 2024 by plusmo

Pero además este canal ofrece otros beneficios:

– El marketing por SMS cuenta con una tasa de apertura del 98%.

– El 90% de las personas que tiene un celular lee los SMS dentro de los 3 minutos.

– La tasa de clics promedio en los enlaces que acompañan a los SMS es de 19%.

– El 91% de los clientes optan voluntariamente por recibir SMS promocionales de marcas.

 

Estos datos explican con claridad por qué las compañías más dinámicas se ocupan de conseguir un buen proveedor de envíos masivos de SMS. Sin embargo, para que esta elección sea acertada, hay que tener en cuenta algunos factores:

  • Elegir un proveedor con una infraestructura tecnológica sólida y conectada con las principales redes de telecomunicaciones locales en forma directa para asegurar menores tiempos de envío y mejores resultados en los envíos.
  • Evaluar la oferta de valor integral, en vez de considerar solo factores como las tarifas o el precio por SMS, la compra mínima o el descuento por volumen.
  • Asegurarse de que la plataforma cuente con una interfaz amable y resulte rica en funciones como automatización, posibilidad de enviar contenido multimedia, programar mensajes, gestionar contactos, generar informes en tiempo real, opciones de filtrado y más.
  • Verificar que el proveedor ofrezca garantías de seguridad para los datos y cumpla con las normativas de privacidad.
  • Evaluar las opciones de personalización de los mensajes y las campañas.
  • El servicio debe ofrecer informes y estadísticas para medir las campañas – como tasas de entrega, cantidades de emnsajes no entregados, etc.
  • Verificación de información de portabilidad numérica de las líneas celulares a las que se van a realizar los envíos de SMS – es decir, verificar que el dato del operador celular de la líneas de destino es correcto, pero asegurar los resultados de los envíos de mensajes de texto.
  • Formas de envío de SMS ofrecidas, por ejemplo, mediante conexión por API o a través de un sitio web.
  • Posibilidad de incorporar números cortos exclusivos para los envíos y eventualmente recepción de SMS.

 

Escalabilidad e integración

Al optar por un proveedor también hay que chequear que la tasa de entrega de SMS (es decir, el porcentaje de mensajes que se entregan con éxito a los destinatarios previstos) sea elevada.  Y además es importante considerar la escalabilidad, esto es, que pueda manejar volúmenes de mensajes superiores a medida que crece el negocio, sin afectar el rendimiento.

Otros factores claves tienen que ver con la integración de API: el proveedor debe ser capaz de integrarse con otros sistemas de forma veloz y correcta, como las herramientas de automatización del marketing o el software de gestión de relaciones con el cliente (CRM). Esto resulta clave para automatizar los envíos masivos de SMS, hacer un seguimiento de las entregas y medir las campañas.

Por otro lado, es importante que, además de remitir envíos masivos de SMS, el proveedor pueda manejar los mensajes entrantes (es decir, que ofrezca mensajería bidireccional), para que los clientes puedan responder fácilmente. Y también que disponga de un ID del remitente que los usuarios conozcan (y reconozcan), ya que esto ayuda a incrementar la confianza y por lo tanto los niveles de apertura.

Obviamente, también siempre es conveniente que el proveedor cuente con conocimiento del negocio y la industria particular en la que opera la empresa contratante.

 

En Plusmobile tenemos una amplia experiencia como proveedor de envíos masivos de SMS corporativos, y colaboramos con empresas de muy distintas industrias con un servicio que ofrece múltiples diferenciales, como conexiones directas con los operadores celulares y los precios más competitivos del mercado, números cortos exclusivos habilitados con todos los operadores móviles y tiempos promedio de envío menores a tres segundos. Además, ofrecemos chequeos de portabilidad numérica, reportes online de los envíos de SMS con confirmación de entrega en los celulares de destino, posibilidad de personalizar el texto de los SMS, comunicación de dos vías y más.

 

 

Seguridad y usuarios móviles: en 2024 más del 50% del tráfico de SMS será para autenticación de identidad

21 febrero, 2024 by plusmo

El tráfico global de autenticación por SMS crecerá un 4% durante el presente año, según un estudio la consultora internacional Juniper Research. A pesar de que el promedio anual de crecimiento de los operadores en los últimos cinco años fue del 10% en este sector, el desempeño esperado para 2024 se presenta como un testimonio de la confianza en los SMS como herramienta de autenticación.

Los analistas de la consultora destacan que el aumento de los precios comerciales de los SMS es un desafío que ya fue superado con éxito. De hecho, en lugar de disminuir la demanda de autenticación basada en SMS, esta situación llevó a un enfoque más innovador y a la exploración de tecnologías de autenticación alternativas, como contraseñas de un solo uso en aplicaciones de mensajería OTT y llamadas flash.

Servicios de autenticación

Una noticia prometedora del informe mencionado es que, en 2024, más del 50% del tráfico de SMS estará dedicado a casos de uso de autenticación. En este contexto optimista, Juniper sugiere que los operadores deberán promover activamente API de autenticación, como Number Verify y SilentAuth, para mantener la demanda de servicios de autenticación dentro de entornos seguros y controlados por ellos mismos. Las API de operador se convierten en una valiosa oportunidad para garantizar que la autenticación permanezca dentro de sus redes, fortaleciendo la seguridad y la confianza.

Desde esta perspectiva, la implementación de estándares abiertos acelerará el uso de API. El GSMA Open Gateway, lanzado en 2023, se presenta como una herramienta que permitirá a los operadores desarrollar e implementar rápidamente soluciones de autenticación basadas en API. Este enfoque elimina la necesidad de autenticación de usuario, autenticándose silenciosamente a nivel de SIM y proporcionando una experiencia sin fricciones para los usuarios de dispositivos móviles, al mismo tiempo que conserva el uso eficiente de las redes de telecomunicaciones.

Restaurar la confianza

Es evidente que los operadores están teniendo éxito en sus esfuerzos por monetizar el canal de SMS, gracias a su dedicación a restaurar y mantener la confianza en este tipo de mensajes. La actualización continua de la autenticación por SMS es vital para asegurar que siga siendo la opción preferida, en un contexto donde los mensajes de texto se perciben como una herramienta confiable y efectiva.

Existen diversas estrategias positivas para lograr este objetivo. Desde Plusmobile, por ejemplo, desarrollamos una solución para evitar el SIM swapping, una modalidad de fraude que también se la conoce como estafa de transferencia o secuestro de SIM, y que justamente está afectando a la credibilidad de los SMS – en su versión OTP – como factor de autenticación.

En este contexto el servicio de suscripción que denominamos API Mobile Verify fortalece la verificación de identidad y ofrece la detección temprana de eventuales señales de fraude. API Verify protege a las empresas y particulares contra usurpación de identidad y otros fraudes con tarjetas SIM: los datos actualizados en tiempo real permiten evaluar si la transacción es segura, o en su defecto debe marcarse como potencialmente fraudulenta y buscar otro tipo de información para tomar decisiones.

La solución que desarrollamos justamente está enmarcada dentro de la iniciativa de los operadores Open Gateway, funciona mediante consultas vía API y constituye un importante refuerzo de seguridad para que los SMS sigan teniendo vigencia como alternativa de autenticación.

 

 

Día Internacional de Internet Segura – Cómo protegerse en el universo online?

7 febrero, 2024 by plusmo

Internet ocupa un lugar fundamental en la cultura moderna y genera innumerables beneficios. Pero también involucra una serie de riesgos, por lo cual es importante que su uso sea inteligente y responsable.

A propósito de esta celebración, nos interesa poner el foco en las formas en que podemos estar más seguros al navegar en la Web y acceder a los sistemas en la actualidad. Un proceso clave para optimizar la navegación, particularmente cuando se involucran datos confidenciales, es recurrir a la autenticación de dos factores (2FA, o doble autenticación), un proceso de seguridad a través del cual los usuarios proporcionan dos factores de autenticación diferentes para verificarse.

Este método de autenticación ofrece un nivel de seguridad extra comparado con los métodos que dependen de un único factor, como una contraseña. Habitualmente exige que el usuario ingrese una clave como primer factor de autenticación, y luego un segundo factor diferente – ya sea un código de un solo uso u OTP que se le remite al celular vía SMS, un factor biométrico, un token de seguridad u otro. Es decir que incluso si la contraseña del usuario llega a ser pirateada, esto no será suficiente para que los ciberdelincuentes puedan vulnerar sus cuentas para realizar acciones maliciosas.

 

Objetivo doble

La autenticación de dos factores tiene un doble propósito: proteger mejor tanto a las credenciales online del usuario, como a los recursos a los que puede acceder tales como sistemas corporativos, datos confidenciales, cuentas bancarias y cuentas de billeteras digitales, entre otros.

Este proceso puede concretarse a través del envío de un SMS al celular del usuario, con un código de un solo uso que tendrá que ingresar para acceder a sus cuentas. Este esquema de doble autenticación basado en SMS es económico, resulta sencillo de implementar y es fácil de usar.

La autenticación de dos factores vía SMS es claramente superior al uso excluyente de contraseñas, pero también hay casos en los que cibercriminales consigan hacerse del código de verificación de sus víctimas.

 

Una solución de avanzada frente al Sim Swapping

Una de las técnicas que utilizan los ciberdelincuentes para hacerse con los códigos de autenticación de un solo uso (OTP) de los usuarios es el SIM swapping, un tipo de ataque a partir del cual se le secuestra la línea de teléfono a la víctima a través de la duplicación de la tarjeta SIM, para luego hacerse pasar por ella. Actualmente, los delincuentes utilizan esta técnica para tomar el control de la tarjeta SIM de una persona sin su autorización, usurpar su identidad y acceder a sus cuentas en línea.

Atentos a esta vulnerabilidad, Plusmobile desarrolló, trabajando conjuntamente con los tres operadores celulares de Argentina, la solución API Mobile Verify, que está orientada al mercado de los bancos y las empresas fintech y que evita que los usuarios sean víctimas de este tipo de fraude. También ofrecemos un desarrollo más integral de verificación de identidad (mobile identity) que chequea que el celular sea utilizado por la persona dueña de la línea sin duplicaciones.

Con estos desarrollos y avances desde Plusmobile colaboramos para que el mundo online sea más seguro y para que los usuarios puedan operar con mayor tranquilidad.

 

 

SIM Swapping – Cómo evitar que los clientes sean víctimas de este tipo de fraude

27 diciembre, 2023 by plusmo

El SIM swapping (o intercambio de SIM) es un tipo de fraude que se realiza clonando o duplicando la tarjeta SIM de la víctima para luego hacerse pasar por ella. Los ciberdelincuentes utilizan esta técnica para tomar el control de la tarjeta SIM de una persona sin su autorización, usurpar su identidad y acceder a sus cuentas en línea, no solo a las bancarias o las billeteras digitales, sino también a sus redes sociales, correo electrónico y más. O sea que al duplicar la tarjeta SIM los delincuentes “secuestran” el número de teléfono de la víctima.

Esta modalidad de fraude viene creciendo en todo el mundo y en Estados Unidos durante 2023 hubo miles de denuncias y pérdidas de cientos de millones de dólares, superando ampliamente los niveles de años anteriores.

En Argentina a lo largo de 2023 muchos bancos también sufrieron este tipo de fraudes, incluso varios grandes y de primera línea, con perjuicios importantes – varias decenas de millones de dólares. Actualmente aquí son los operadores celulares los que lideran las acciones para prevenir y combatir el SIM Swapping, apoyándose también en los integradores como PLUSMO.

Nuestra empresa viene trabajando en forma conjunta con los operadores móviles de Argentina y recientemente comenzó a ofrecer su aplicación Api Verify a Bancos y empresas Fintech, mercado en el cual es pionera.

Los operadores celulares , agrupados a nivel mundial en la asociación GSMA, han lanzado en este contexto bajo una norma general llamada OpenGateway, diferentes normas y protocolos para prevenir y combatir el SIM Swapping.

Estas normas y procedimientos están dirigidos  a procesar y proveer a empresas homologadas información crítica sobre el comportamiento de sus usuarios que pueden servir, preventivamente, para evitar estos fraudes.

Para la provision de esta información crítica los operadores móviles se apoyan en integradores homologados como Plusmo.

Nuestra empresa viene trabajando sobre este tema en forma conjunta con los operadores móviles de Argentina y recientemente comenzó a ofrecer su aplicación API Verify a Bancos y empresas Fintech, mercado en el cual es pionera en materia de comunicación móvil fácil y segura.

Los próximos pasos en el roadmap de Plusmo, además de difundir su aplicación contra el SIM Swapping en Argentina, también incluyen su implementación en otros países de la región en el corto plazo, incluyendo Perú, Colombia, Paraguay y Uruguay, entre otros.

Cómo ataca el SIM Swapping?

Por lo común este método de fraude sigue una serie de pasos:

1. Los delincuentes recopilan información sobre la víctima como nombre, número de teléfono y otros datos.

2. Los atacantes engañan a la telefónica ya que se hacen pasar por la víctima y usan la información recopilada para convencer al representante de atención de la compañía de que necesitan transferir su número de teléfono a una nueva tarjeta SIM por pérdida o robo del dispositivo.

3. Una vez que logran engañar a la telefónica, obtienen una nueva tarjeta SIM con el número de teléfono de la víctima y piden dar de baja la anterior.

4. Con la nueva tarjeta SIM activada, los atacantes controlan el número de teléfono de la víctima y sus llamadas y mensajes.

5. Al controlar el número de teléfono, pueden solicitar el restablecimiento de contraseñas (y recibir el código de verificación de un solo uso que llega a través de SMS).

6. Con las nuevas contraseñas en su poder, proceden a robar información personal o dinero de las cuentas.

Cómo protegerse

Para protegerse contra el SIM swapping hay que generar conciencia en los usuarios y hacerles saber que es clave que mantengan la información personal segura y sean cautelosos con las llamadas o mensajes sospechosos que soliciten datos personales o cambios en la cuenta telefónica. También que contacten de inmediato a la compañía telefónica si sospechan que fueron víctimas de un intento de SIM swapping (por ejemplo, si notan la pérdida de señal de la red en sus equipos).

Por su parte para las compañías es fundamental conocer si hubo un cambio de SIM de un cliente recientemente, de modo tal que puedan reforzar los controles y garantizar la seguridad de sus cuentas, detectar actividades fraudulentas y proporcionar un servicio al cliente eficiente y seguro.

Una Solución Efectiva para un problema grave

Desde Plusmobile aportamos nuestra solución API Mobile Verify, que permite saber si hubo un cambio del chip SIM en los últimos 90 días e informa la fecha en que sucedió. Además permite saber si hubo un cambio de un operador a otro, y la fecha de activación en el operador celular actual.

Esta solución que desarrollamos para prevenir el SIM Swapping está orientada al mercado de bancos y fintech. Al mismo tiempo estamos avanzando con un desarrollo más integral de verificación de identidad (mobile identity) que chequea que el celular sea utilizado por la persona dueña de la línea sin duplicaciones (a la autenticación vía SMS le suma el control de que la tarjeta SIM no haya sido duplicada y que la persona esté conectándose desde el mismo celular de siempre). De esta manera, las instituciones bancarias pueden ofrecer mayor seguridad a sus clientes.