Las estafas por SMS están de moda. Desde tarjetas sanitarias a la devolución de la Renta, la cuenta de Netflix o la tarjeta de Carrefour, es como si nada pudiera parar el torrente de SMS falsos que buscan obtener nuestros datos y sustraer nuestro dinero. Si tan solo hubiera una solución al respecto... Ah, espera un momento, es que la hay.
Google anunció en 2019 los SMS verificados, una nueva herramienta que desde entonces se integra en su aplicación de SMS, Mensajes de Google. La impecable solución técnica de Google tiene un pequeño problema cuatro años más tarde: no la usa nadie más, salvo Google.
La solución de Google: la verificación
El problema de los SMS falsos es que no los podemos distinguir de los reales. De hecho, los malhechores cuentan con la tecnología para suplantar al remitente original, de modo que el mensaje falso parece provenir del número real.
Las suplantaciones de identidad son un problema habitual en Internet y la solución de Google para los SMS no es muy distinta a la que tenemos, por ejemplo, en las verificaciones de redes sociales como Twitter o Instagram: una entidad se encarga de verificar la cuenta -Google, en este caso- y resalta dicha verificación con una insignia. Si el mensaje proviene de la fuente verificada, se muestra con la insignia. Si no, puede (o no) ser un mensaje enviado por una tercera persona.
Técnicamente, los SMS verificados de Google se basan en un código de autenticidad ilegible para cada mensaje. Para crear un código de autenticidad, la empresa usa una clave pública para tu dispositivo, una clave privada que genera y el contenido del mensaje que tiene pensado enviarte a fin de generar un código que sea único para ti, para la empresa y para ese contenido específico.
Después es la aplicación de Mensajes la que se encarga de cotejar que estas claves se corresponden. Si la empresa remitente del mensaje está registrada en Google, la app de Mensajes recuperará la clave pública de la empresa y usará tu clave privada para generar un código de autenticidad que se envía de vuelta a Google. Este código se compara con la clave proporcionada por la empresa y no incluye el contenido del mensaje. Si ambas claves coinciden, el mensaje se muestra como verificado y se incluye la insignia de verificación, además del logo de la compañía.
Este sistema supone que aunque alguien disponga de la tecnología para suplantar el número de teléfono original, el mensaje no se mostrará como verificado al no contar con el código de autenticación real, por lo que tiene el potencial para acabar con los casos de phishing más difíciles de detectar.
El problema, que es una solución de Google
Todo esto suena muy bien, pero el problema de esta solución es que tiene "demasiado Google". Para su funcionamiento, las empresas que envíen SMS, ya sea tu banco, la Agencia Tributaria o la panadería del barrio, necesitarán usar la plataforma de mensajes para empresas de Google en lugar cualquiera que sea su proveedor actual.
En la parte del usuario, es necesario que usen Mensajes de Google, una aplicación que está bastante extendida en Android pero que directamente no nos vamos a encontrar en la App Store de Apple. Es decir, una empresa debe hacer la inversión de usar la tecnología de Google para recibir una verificación que sólo se va a mostrar a un porcentaje de los receptores de cada mensaje.
El resultado de este paradigma es bastante visible cuatro años más tarde, cuando prácticamente nadie está usando los SMS verificados, salvo Google. Puedes comprobarlo tú mismo abriendo la app de Mensajes y buscando algún mensaje oficial (no de un contacto) que incluya una foto de perfil y esté verificado.
Si bien en la verificación de correos electrónicos Google ha unido fuerzas con otros (pocos) nombres de la industria para impulsar el estándar BIMI, en los SMS no hay colaboración alguna y el hecho de que se base en los RCS, un tema del cual Apple no quiere oir ni hablar, no ayuda.
Los SMS verificados son el opuesto a un estándar abierto y, si bien en una tarea así alguien debe encargarse de hacer las verificaciones y proporcionar la tecnología, al resto de tecnológicas no les interesa en absoluto que nadie, salvo ellas mismas, sean esa organización central, y mucho menos Google. Con este panorama, lo más normal es que dentro de cuatro años los únicos SMS verificados que te lleguen a tu móvil sigan siendo los mismos, los de Google. Y el phishing bien, como siempre.
En Xataka Móvil | Por qué llega un SMS cada vez que cambias de SIM y para qué sirve ese mensaje de aprovisionamiento
Ver 1 comentarios