Hace unos días estuve mirando algunas charlas del evento de seguridad No cON Name, una que me gustó bastante fue la de Julián Vilas Díaz sobre SMS spoofing que en pocas palabras significa falsificar mensajes de texto, o mejor dicho suplantar el número del remitente.
Durante una hora se habla de ataques sobre usuarios y aplicaciones web, además de cómo protegerse. Así que recomiendo ver la charla, se puede descargar desde el sitio del No cON Name en formato avi.
Dada la infraestructura de los SMS es muy sencillo falsificarlos y hacerse pasar por otra persona, a continuación mostraré un ejemplo con un servicio de telefonía que, aprovechando algunas de sus funciones, permite hacerlo de forma gratuita.
Enviando el SMS falso:
Como se puede ver puedo escribir el mensaje, el número del destinatario y el número del remitente.
En este ejemplo me envié el mensaje a mi mismo inventando como remitente el número 099999999, de la misma forma podría poner el número real de una persona y si coincide con alguno de la agenda, en lugar de aparecer el número aparecería directamente el nombre asociado.
A continuación se puede ver el SMS recibido:
Prácticamente no hay nada que se pueda hacer para evitar esto, al menos en móviles viejos como el de la imagen sería la operadora la que tendría que filtrar esos mensajes falsos. En teléfonos más actuales se podrían instalar antivirus o filtros que sean capaces de detectar el SMS spoofing.
El problema es que tendemos a confiar en los SMS y nunca esperamos que sean suplantados de esta forma ni enviados por un extraño que, por ejemplo, se robó el celular (algo que suele suceder), hay que tener cuidado y como todo si el mensaje es sospechoso o está totalmente fuera de contexto lo mejor es llamar :)
Servicios de SMS spoofing:
La web del ejemplo es Lleida y su sección de websms, para utilizarlo primero debes darte de alta en el servicio. Otro sitio similar pero de pago es Fogmo, puede ser útil si Lleida no funciona con tu país.
En un principio no quería mencionar los sitios, dado el mal uso que se le pueden dar, pero cada uno sabrá lo que hace, tengan en cuenta que si la persona que recibe el sms falso realiza una denuncia se pueden meter en problemas :)
Más información: Uso de SMS Spoofing desde SET