Cada vez veremos más SMS “verificados” contra el fraude. Lo importante es entender cómo funcionan realmente. – Desde dentro

Vemos en directo desde nuestros teléfonos móviles lo que aparece en su pantalla, desde un mensaje del banco hasta un código para autorizar un pago. Esta dependencia ha hecho que los mensajes de texto sean un terreno fértil para el engaño con campañas. sonriendo que imitan a empresas conocidas y se insinúan en conversaciones que parecen legítimas. El problema no es sólo técnico, también es de confianza: saber de un vistazo quién está realmente del otro lado.

Durante años, los mensajes SMS legítimos y fraudulentos han sido tratados por igual, y es precisamente esta neutralidad la que aprovechan los atacantes. Las campañas maliciosas descubiertas en España muestran cómo se copian nombres y formatos de empresas conocidas para ganarse la confianza del destinatario. Estos mensajes no pretenden despertar sospechas. Y cuando surgen dudas, muchas veces es demasiado tarde para reaccionar.

Saluda a los mensajes verificados. Ante la pérdida de confianza en los SMS tradicionales, la industria ha optado por reforzar la identidad del remitente en lugar de transferir toda la responsabilidad al usuario. Los mensajes verificados conllevan un cambio relevante: hacen visible si una empresa ha sido reconocida como legítima antes de que el mensaje llegue al teléfono móvil. Impulsados ​​por el protocolo RCS, estos mensajes añaden un nombre, logotipo e indicadores de verificación para reducir una de las principales armas del fraude, la confusión sobre el origen real del mensaje.

BBVA. Así es como se ve en el teléfono. En España, BBVA fue uno de los primeros grandes bancos en hacer visible este cambio al usuario. En Android, los mensajes oficiales del banco están marcados con su nombre y logo, junto con una nota que lo identifica como canal oficial. Al hacer clic en el logo, el usuario puede comprobar si los datos asociados como el número de teléfono o la página web coinciden con los del banco. Además, estos mensajes llegan en un hilo diferente al de los SMS tradicionales, precisamente para evitar que se confundan con mensajes fraudulentos.

Bankinter también ha dado el paso. Bankinter se ha aliado con Telefónica para distribuir noticias verificadas. La criatura explicó Esto mejora la seguridad de las “comunicaciones críticas”, como códigos únicos para transferencias o pagos en línea. Aquí también encontramos la confirmación del remitente, el logo oficial y otra información como la página web y un número de teléfono.

Así funciona la verificación. Detrás de esta insignia visible se esconde un proceso que resulta mucho menos obvio para el usuario. El estándar definido por la GSMA establece varias etapas previas antes de que una empresa pueda enviar un único mensaje verificado. En primer lugar, la empresa debe registrar su identidad con un nombre y logotipo específicos y someterla a una certificación externa por parte de un tercero que certifique que la empresa puede utilizar ese nombre y logotipo. Esta validación por sí sola no es suficiente: la autoridad que la emite debe estar incluida en la lista de confianza del operador destinatario. Sin esta cadena completa, el cheque simplemente no aparecerá.

¿Quién controla a quién? Aquí es donde entran en juego las llamadas Autoridades de Verificación, que son terceros responsables de comprobar si una empresa es quien dice ser antes de poder enviar mensajes verificados. Dependiendo del despliegue y del país, este papel puede recaer en empresas privadas especializadas en verificación digital, operadores móviles o incluso agencias gubernamentales. Posteriormente, el operador del usuario decide si confía en esta autoridad, lo que en ocasiones queda claramente reflejado en el propio mensaje, como ocurre en un ejemplo oficial de Bankinter, donde el sistema indica que la verificación la realizó Movistar.

La verificación final se produce cuando el mensaje llega al teléfono. Según el estándar GSMA, la aplicación de mensajería descarga automáticamente el perfil del remitente y realiza una serie de comprobaciones técnicas antes de mostrar una credencial. Se comprueba si la firma sigue siendo válida, si la autoridad emisora ​​es aceptada por el operador del usuario y si los datos no han sido modificados. Sólo cuando todo está correcto aparece el indicador de prueba; Si algo falla, el mensaje pierde toda apariencia de legitimidad.

¿Funciona en iOS y Android? Este esquema no sólo está disponible para Android. Apple agregó soporte para RCS como servicio de operador a partir de iOS 18, lo que le permite enviar y recibir mensajes con funciones avanzadas cuando no usa iMessage. En la práctica, el comportamiento es el mismo: si el operador admite RCS y se implementa el estándar, el sistema puede mostrar el nombre, el logotipo y los indicadores asociados al remitente. Sin este apoyo del operador, el mensaje vuelve al territorio habitual de SMS o MMS sin señales de verificación adicionales.

Para el usuario, el aprendizaje práctico es fácil: un mensaje verificado proporciona más contexto y más pistas que un SMS tradicional, pero no le exime de la necesidad de ser cauteloso. Saber que hay un proceso técnico detrás de esta distinción nos ayuda a interpretar mejor lo que llega a nuestros móviles y a tener cuidado cuando algo no coincide. Sin embargo, aún es necesario tener precaución en un entorno donde los actores maliciosos nunca duermen.

Imágenes | Vitaly Gariev | BBVA | Bancointer | Géminis 3 Pro

En | Expertos en ciberseguridad de día, ciberdelincuentes de noche: cómo dos profesionales cayeron tras usar ransomware