El mensaje llega al mismo hilo donde siempre le envía mensajes de texto su banco. El mismo nombre en la parte superior, la misma conversación por la que has visto cientos de veces, escondida justo debajo de la alerta de fraude del mes pasado. Le pide que confirme un cargo y hay un enlace. Nada parece extraño, porque nada está apagado, al menos no de la manera que su teléfono esté dispuesto a mostrárselo. El remitente no es su banco. El remitente es alguien con una computadora portátil y una cuenta de correo electrónico.
Ese escenario incómodo era, hasta hace muy poco, trivialmente fácil de lograr en la mayoría de los teléfonos en los Estados Unidos. Un equipo de científicos informáticos de la Universidad de California en San Diego pasó meses desmontando las tuberías que transportan mensajes de texto, y lo que encontraron fue una brecha lo suficientemente amplia como para pasar una suplantación convincente.
El problema comienza con una característica que casi nadie recuerda haber pedido. A principios de la década de 2000, los operadores querían popularizar los mensajes de texto, por lo que conectaron puertas de enlace que le permitían enviar un mensaje de texto por correo electrónico. Envíe por correo electrónico una dirección como un número de teléfono en el dominio del operador y el mensaje aparecerá en el otro extremo como un SMS. Conveniente, seguro. Pero el correo electrónico y el texto son idiomas diferentes, con reglas diferentes sobre quién envió qué, y alguien tiene que traducir entre ellos.
Ese alguien es la puerta de entrada y la traducción es donde las cosas se pierden.
“El correo electrónico y los mensajes de texto no fueron diseñados para funcionar juntos”, dice Stefan Savage, profesor del Departamento de Ingeniería y Ciencias de la Computación de UC San Diego y uno de los autores principales del artículo. Busca una imagen para concretar la incomodidad: “Es un poco como leerle postales a alguien por teléfono y tener que averiguar dónde está la información del remitente y del destinatario, y el mensaje en sí”.
Y cada operador lo entiende de manera ligeramente diferente. El equipo sondeó las puertas de enlace de las grandes redes estadounidenses, Verizon, T-Mobile, Google Fi, AT&T y un grupo de operadores más pequeños, tratando a cada uno como una caja negra y enviándole correo electrónico con formato incorrecto tras correo electrónico con formato incorrecto para ver qué salía. Los sistemas de correo electrónico tienen defensas contra la suplantación de identidad con nombres como SPF, DKIM y DMARC, y todas las puertas de enlace afirman que las admiten. El problema fueron las costuras. Deje un encabezado vacío aquí, deslice un carácter perdido allí, y un mensaje que debería haber sido rechazado aparecerá con cualquier nombre de remitente que le apetezca al atacante.
Cómo un personaje callejero se convierte en un número de teléfono
La parte realmente inteligente ocurre una vez que el correo electrónico convertido en texto llega al teléfono. Los teléfonos intentan ser útiles: comparan al remitente con sus contactos y le muestran un nombre descriptivo en lugar de una cadena de dígitos. Los investigadores descubrieron que una dirección de correo electrónico cuidadosamente diseñada podría secuestrar esa búsqueda. En un iPhone, una dirección que comienza con un número de teléfono seguido de los caracteres “=?” se corta exactamente en el lugar equivocado y el trozo sobrante se lee como un número de teléfono genuino. Android tenía su propia versión del error, donde Mensajes de Google vio una dirección de correo electrónico completamente numérica, decidió que realmente debía ser un número y silenciosamente eliminó la @ y el punto hasta que se convirtió en uno.
Por lo tanto, un atacante no se limita a falsificar un correo electrónico aleatorio. Pueden hacer que su teléfono crea que un mensaje proviene de un número específico, un código corto de cinco dígitos o incluso una palabra sencilla como el nombre de un banco.
Lo que hace que esto sea realmente desagradable, en lugar de simplemente inteligente, es lo que hacen los teléfonos a continuación. Para mantener tus conversaciones ordenadas, las aplicaciones de mensajería agrupan todo, desde un contacto en un solo hilo, ya sea que llegue por SMS, iMessage o cualquier otra cosa. Los investigadores descubrieron que la aplicación de Apple está especialmente interesada en esto, fusionando mensajes entre números de teléfono y direcciones de correo electrónico en una conversación continua sin marcar en qué canal entró cada uno. Si falsifica la identidad correcta, su mensaje falsificado no iniciará un nuevo hilo sospechoso. Cae en medio de uno real. Hay una pequeña advertencia para el atacante: generalmente no puede ver las respuestas, ya que van al contacto real.
“No existen estándares para convertir correos electrónicos en textos y eso abre la puerta a todo tipo de vulnerabilidades”, dice Sumanth Rao, primer autor del artículo y estudiante de doctorado en informática en la Escuela de Ingeniería Jacobs.
Los requisitos técnicos para un atacante son, francamente, deprimentemente modestos. Necesita una computadora que pueda enviar correo electrónico, algún software complicado y disponible en el mercado, un dominio propio y el número de teléfono de la víctima, que no es un secreto de estado. Desde el número normalmente se puede buscar el operador, y desde el operador se puede buscar la puerta de enlace, porque los propios operadores publican las direcciones. Los mismos investigadores también mostraron cómo disfrazar un mensaje falsificado como un negocio “verificado”, completo con un logotipo reconocible, y cómo falsificar un chat grupal completo en el que el atacante desempeña todos los papeles excepto la víctima.
La larga cola de un insecto de doce años
Algo de esto había estado a la vista durante un tiempo alarmantemente largo. La peculiaridad del análisis del iPhone aparece en las bibliotecas de Apple desde al menos 2012, y la de Android, aproximadamente desde 2016. Estos no eran agujeros recién creados; eran viejas suposiciones a las que a nadie se le había ocurrido poner a prueba.
Todo el edificio, argumentan los investigadores, se basa en una discreta fe que ninguno de nosotros aceptó. Asumimos que un texto es lo que dice que es. “La gente no se da cuenta de que no hay garantía de que los mensajes de texto tengan integridad”, dice Savage. “No se puede contar con la autenticidad”.
Aquí está la mejor noticia. Antes de publicar, el equipo reveló todo a las empresas afectadas y la respuesta fue inusualmente rápida. T-Mobile parchó sus puertas de enlace un día después de recibir la notificación; Verizon dentro de cinco. Google solucionó la falla en Google Messages y Apple corrigió el error de análisis del iPhone, asignándole un identificador de vulnerabilidad formal en el proceso. Verizon va más allá y planea desactivar por completo la capacidad de enviar mensajes de texto por correo electrónico para fines de marzo de 2027, un camino que AT&T ya había tomado. El organismo de normalización de la industria, GSMA, está actualizando sus directrices de seguridad para que los operadores de otros lugares puedan apretar las mismas uniones flojas.
Así que la puerta de entrada está cerrada con llave, al menos en Estados Unidos. Sin embargo, lo que el trabajo realmente expone no es tanto un solo error como un hábito de construcción. Siempre que dos sistemas antiguos que nunca debieron hablar se unen por conveniencia, las lagunas en la traducción se convierten en oportunidades para alguien, y esas lagunas tienden a acechar durante años antes de que alguien vaya a buscarlas. El próximo probablemente ya esté ahí afuera, esperando en la costura entre dos servicios que nadie pensó en cuestionar.
La investigación, “Perdidos en la traducción: falsificación de mensajes de texto a través del correo electrónico”, recibió un Premio al Trabajo Distinguido en el 47º Simposio IEEE sobre Seguridad y Privacidad.
Preguntas frecuentes
¿Alguien realmente podría falsificar un mensaje de texto de mi banco sin piratear nada?
Sí, y ese fue el núcleo inquietante de esta investigación. Al enviar un correo electrónico a la puerta de enlace de texto de un operador con algunos detalles deliberadamente mal formados, un atacante podría hacer que un teléfono muestre su mensaje como proveniente de un nombre o número confiable, sin necesidad de violar la cuenta. Desde entonces, los principales operadores estadounidenses y tanto Apple como Google han reparado las fallas específicas, pero la técnica funcionó contra los teléfonos comunes durante años.
¿Por qué un texto falsificado pudo colarse en una conversación existente?
Las aplicaciones de mensajería agrupan todo, desde un contacto, en un solo hilo para mantener todo ordenado, y tienden a confiar en la etiqueta del remitente sin verificarla. La aplicación de Apple fue la más agresiva, fusionando mensajes de correo electrónico y números de teléfono en una sola conversación, por lo que un mensaje falsificado podía aparecer en mitad del hilo en lugar de iniciar uno nuevo sospechoso. Ese paquete es conveniente, pero asume silenciosamente que cada remitente es quien dice ser.
¿Mi teléfono está seguro ahora?
Para los ataques específicos de este estudio, en gran medida sí, siempre que su teléfono esté actualizado, ya que Apple, Google y los principales operadores han implementado soluciones. Verizon incluso planea retirar por completo la conversión de correo electrónico a texto a principios de 2027. La lección más profunda es más difícil de corregir: pueden existir brechas de traducción similares dondequiera que se hayan unido dos sistemas incompatibles.
¿Qué tan difícil hubiera sido realmente llevarlo a cabo?
Sorprendentemente fácil para los estándares de ataques graves. Sólo necesitaba una computadora capaz de enviar correo electrónico, algún software común, un dominio y su número de teléfono, que rara vez es difícil de encontrar. Esa baja barrera es exactamente la razón por la que los investigadores la trataron como urgente en lugar de teórica.
Nota rápida antes de seguir leyendo.
ScienceBlog.com no tiene muros de pago, ni contenido patrocinado, ni ningún objetivo más allá de hacer la ciencia correcta. Cada historia aquí está escrita para informar, no para impresionar a un anunciante o promover un punto de vista.
El buen periodismo científico requiere tiempo: leer los artículos, comprobar las afirmaciones, encontrar investigadores que puedan poner los hallazgos en contexto. Hacemos ese trabajo porque creemos que es importante.
Si encuentra útil este sitio, considere apoyarlo con una donación. Incluso unos pocos dólares al mes ayudan a mantener la cobertura independiente y gratuita para todos.