SMS pumping, una amenaza creciente para las empresas

El SMS es una de las herramientas preferidas por las empresas a la hora de comunicarse con sus clientes, ya sea para llevar a cabo campañas comerciales, realizar una autenticación de doble factor o facilitar claves de un solo uso, por ejemplo.

Los ciberdelincuentes, siempre atentos a todo aquello que les permita obtener un beneficio económico, tampoco dejan pasar las oportunidades que ofrece este tipo de mensajería. De hecho, llevamos bastante tiempo conviviendo con fraudes en los que se ven involucrados los SMS: spam, phishing, vishing, SIM swapping, etc.

Y ahora ha llegado el SMS pumping o el tráfico artificialmente inflado (AIT, por sus siglas en inglés), donde las empresas pagan por el tráfico de SMS dirigidos a usuarios que realmente no existen.

El impacto de este tipo de actuaciones no sólo amenaza a las empresas víctimas de este engaño, sino que también provoca el aumento de los precios de los SMS, según advierte Juniper Research, de lo que nos hacíamos eco hace unos días. Por eso, cada vez son más las compañías que se interesan por tecnologías alternativas, como el uso de aplicaciones de mensajería instantánea o las llamadas flash.

¿Pero en qué consiste el SMS pumping? Este fraude se produce cuando una empresa cae en las redes de una supuesta empresa que se ocupa de gestionar los SMS comerciales para ofrecer un descuento, ofrecer la autenticación de doble factor, etc.

Por ejemplo, un ecommerce podría tener en su web una ventana emergente en la que invite a sus usuarios a acceder a un descuento si facilita su número de móvil. Así pues, el cliente sólo tendría que introducir su teléfono y recibiría un SMS con el descuento.

A priori, es una buena arma para conseguir nuevos clientes o fidelizar a los que ya se tienen, pero también puede convertirse en un coladero si caemos en las redes de los ciberdelincuentes, que llegan a la compañía camuflados como proveedores de los mensajes a los teléfonos recogidos a través de la web.

Y lo mismo sucede si la empresa víctima del fraude llega hasta uno estos falsos proveedores que ofrecen la gestión de los SMS para el envío de códigos de autenticación de doble factor o claves de un solo uso para acceder a su área de usuario, por ejemplo.

Una vez que estamos en sus manos, los estafadores pueden utilizar bots para completar el formulario promocional o para solicitar los códigos de acceso, dando lugar al envío masivos de SMS a usuarios que no existen.

Además, estos mensajes suelen ir dirigidos a destinos remotos de alto coste o en coordinación con proveedores de números internacionales de tarifa premium, por lo que el gasto en el que incurre la empresa víctima del fraude se dispara.

Así pues, este tipo de estafa es muy peligrosa, ya es difícil de detectar hasta que llega una factura exorbitada en comparación con el rendimiento comercial proyectado de el volumen de SMS generado. Y sus consecuencias pueden ser muy costosas.

Con el fin de detectar el SMS pumping antes de que sus consecuencias sean irreparables, Infobip ha desarrollado Signals. Se trata de una herramienta de aprendizaje automático que detecta y bloquea automáticamente el tráfico fraudulento sin ninguna intervención de la empresa.

De esta forma, las empresas no sólo evitan incurrir en enormes gastos que amenazan sus recursos financieros, sino que también mantienen sus bases de datos de usuarios limpias de cuentas falsas que puedan dañar potencialmente su reputación.

Asimismo, los propios operadores de telefonía están haciendo esfuerzos para minimizar el SMS pumping. Juniper Research especifica que menos del 1% del tráfico de mensajería empresarial será atribuible a rutas grises en 2027, frente al 4,3% con el que concluirá el presente ejercicio, gracias al despliegue de firewalls de SMS que permitirán detectar fuentes de tráfico fraudulento antes y de manera más eficiente a través del uso del aprendizaje automático.