- Los investigadores descubren que el sistema de remitente verificado RCS es vulnerable a la suplantación, exponiendo a los usuarios a riesgos de phishing.
- El mal uso del protocolo afecta a los principales operadores de telecomunicaciones y a los usuarios globales de Android, lo que genera preocupaciones urgentes sobre la seguridad móvil.
Qué sucedió: la verificación de remitentes RCS puede ser suplantada
Investigadores de ciberseguridad de Evina y Mindflow han descubierto una falla importante en el protocolo Rich Communication Services (RCS). El problema radica en cómo los proveedores de telecomunicaciones verifican a los remitentes RCS “de confianza”. En lugar de utilizar una autenticación mutua estricta, muchos operadores dependen de verificaciones locales que los delincuentes pueden eludir.
Los atacantes registran un número en un servidor RCS extranjero y envían mensajes que imitan a marcas de confianza. Estos mensajes pueden incluir logotipos y nombres oficiales, haciéndolos parecer genuinos. Las víctimas los reciben a través de la aplicación Mensajes de Google, que admite RCS de forma predeterminada. Según TelecomTalk, la falla afecta a los usuarios en todo el mundo, incluidos aquellos atendidos por redes que utilizan la plataforma Jibe de Google.
Lea también:RCS adopta MLS para una seguridad mejorada
Lea también: Sinch amplía su asociación RCS con Verizon
Por qué es importante
El fallo de seguridad pone de relieve un fallo sistémico en la forma en que RCS verifica a los remitentes. El smishing, o phishing por SMS, es una amenaza creciente. El cambio de SMS a RCS pretendía reforzar la seguridad de la mensajería móvil, pero este descubrimiento muestra que el sistema puede ser igualmente, si no más, vulnerable si se implementa de manera deficiente.
A diferencia de los SMS, donde los usuarios pueden ver los números de teléfono, los mensajes verificados de RCS a menudo muestran nombres de marca y logotipos, creando una falsa sensación de seguridad. Sin una aplicación clara del protocolo o verificación entre operadores, los atacantes pueden explotar las incoherencias para crear estafas de apariencia realista. Como señaló el CEO de Evina, David Lotfi: “Esto no es una falla en una aplicación, es un problema de diseño del protocolo”.
Lo que está en juego es importante. RCS ahora está integrado en la aplicación de mensajería predeterminada en miles de millones de teléfonos Android. Si no se soluciona, esta vulnerabilidad podría utilizarse en campañas de phishing a gran escala similares a ataques pasados que explotaron las fallas de señalización SS7.
Mitigar el riesgo requeriría una aplicación estricta de la autenticación, estándares entre operadores y una mayor transparencia por parte de las empresas de telecomunicaciones. Google, las empresas de telecomunicaciones y los fabricantes de dispositivos deben coordinarse para parchear el protocolo y restaurar la confianza en RCS como una alternativa segura a los SMS.

