Si estás desarrollando una aplicación que requiere que los usuarios ingresen un número de teléfono y reciban un SMS, deberías preocuparte por el fraude, especialmente por el fraude de participación de ingresos internacionales.

Con un incremento del 12% en pérdidas por fraude reportadas en 2023 en comparación con 2021, lo que equivale a una pérdida estimada de $38,95 mil millones, el fraude en telecomunicaciones se está convirtiendo en una amenaza mayor para los ingresos comerciales.

Aunque, lamentablemente, hay demasiados tipos de fraude diferentes, uno que afecta a casi todos los actores de la industria de telecomunicaciones es el Fraude de participación de ingresos internacionales (IRSF). Incluso si tu aplicación no ofrece un servicio de telecomunicaciones directamente, puede verse afectada durante los intentos de verificación y autenticación de usuarios.

En este artículo, discutiremos qué es el IRSF y cómo afecta a las empresas y clientes que usan mecanismos de verificación basados en SMS y OTP.

¿Qué es el Fraude de Participación de Ingresos Internacionales (IRSF)?

El Fraude de Participación de Ingresos Internacionales, o IRSF, es una forma de fraude financiero en la que los ciberdelincuentes aprovechan las estructuras de precios complejas de llamadas internacionales y SMS para generar y desviar ingresos a sus propias cuentas. Este tipo de fraude también se llama Fraude de bombeo de SMS o Fraude de tarifa de SMS.

El Fraude de Bombeo de SMS se comete cuando los estafadores aumentan artificialmente el volumen de mensajes SMS internacionales enviados a números de tarifa premium. Generalmente lo hacen engañando a aplicaciones para que completen registros falsos o solicitudes falsas de verificación telefónica en esos números premium. Estos números tienen cargos más altos, y la aplicación atacada por dichos estafadores paga el costo.

Y esos costos pueden llegar a ser astronómicos. En 2023, Elon Musk reveló que Twitter perdía $60 millones al año por Fraude de Bombeo de SMS!

¿Cómo funciona el IRSF?

El estafador adquiere un rango de números de teléfono de tarifa premium (IPRN) que usará para registrarse en diferentes aplicaciones con registros de verificación telefónica.

Generalmente operan desde países donde las regulaciones en esta área son laxas o se implementan débilmente.

A menudo, el estafador está aliado con un operador de telecomunicaciones, operador o cualquier persona que opere una capa entre el mensaje y el final, como el agregador de SMS. De hecho, los operadores de telecomunicaciones deben llegar a acuerdos para compartir ingresos con otros operadores para facilitar los mensajes internacionales. Aunque estos acuerdos están destinados a ser mutuamente beneficiosos, crean brechas para que los estafadores las exploten.

Los estafadores luego bombardean a una empresa con solicitudes de OTP falsas a números premium que ellos (los estafadores) controlan. La empresa acumula una factura grande, mientras que el estafador y el operador de telecomunicaciones/transportista comparten el dinero generado por los números premium.

El IRSF también puede ocurrir dentro de rutas telefónicas normales a números regulares. Pueden no costar tanto, pero aun así acumular suficiente dinero robado para hacer que el fraude valga la pena. Esto es lo que hace que el IRSF sea tan difícil de detectar.

Esta forma de fraude es estructuralmente difícil de combatir que ha captado la atención de Europol, como debería ser.

"Este es el esquema de fraude más dañino hasta la fecha, donde un criminal se asocia con un proveedor de Números de Tarifa Internacional Premium (IPRN) que cobra altas tarifas... y acuerda compartir los ingresos por cualquier tráfico generado por el estafador." — Europol

Otros métodos de ataque del IRSF

Mientras que el fraude de bombeo de SMS es el más común y el que puede resultar en las mayores pérdidas para las empresas, los estafadores pueden usar una variedad de métodos de ataque:

Hackeo de PBX

Al explotar vulnerabilidades en sistemas de Private Branch Exchange (PBX) - redes telefónicas usadas dentro de una empresa - los estafadores pueden redirigir llamadas a números de tarifa premium.

Fraude Wangiri

También conocido como fraude de "una sola llamada", los atacantes realizan llamadas breves a los objetivos, incitándolos a devolver la llamada. La llamada de retorno se dirige a un número de tarifa premium.

Intercambio de SIM

Los estafadores toman el control del número de teléfono de una víctima engañando al proveedor de telefonía móvil para que cambie el número a una tarjeta SIM que controlan. Esto les permite recibir llamadas y mensajes destinados a la víctima.

Fraude de Roaming

Los estafadores pueden explotar acuerdos de roaming internacional para realizar llamadas facturadas a otra red, usando tarjetas SIM robadas o clonadas o aprovechando los retrasos de facturación en registros de llamadas internacionales.

¿Qué empresas deberían preocuparse por el IRSF?

Mientras que ciertos sectores están más expuestos a ataques fraudulentos, como el financiero, sanitario o aplicaciones sociales, cualquier empresa internacional que envíe mensajes de verificación alrededor del mundo debe preocuparse por el IRSF.

Ni siquiera tiene que ser una marca o aplicación importante. Mientras la aplicación tenga un campo de entrada para un número de teléfono y esté diseñada para enviar un SMS a cualquiera, es vulnerable al IRSF.

Ya sea apertura de cuentas, registros de usuarios o verificaciones de transacciones, los estafadores pueden secuestrar cualquier entrega basada en SMS.

Si diriges o trabajas en una empresa como esta, no tienes que preguntar, “¿Puede afectarnos?” Debes preguntar, “¿Cuándo nos afectará?”

¿Cómo impacta el IRSF a las empresas?

Pérdidas financieras

Las empresas enfrentan pérdidas financieras directas por el IRSF, a menudo resultando en facturas telefónicas exorbitantes debido a usuarios falsos.

Este fraude también conlleva costos indirectos, como el costo de investigar y mitigar el fraude, y costos operacionales añadidos.

Daño a la reputación

Si los clientes se ven directamente afectados por el fraude o si se compromete la seguridad de su información, esto puede llevar a daños severos en la confianza de clientes y empleados.

Algunas empresas pueden verse tentadas a responder al fraude bloqueando países o regiones enteras, frustrando a los usuarios reales que tienen allí.

Disrupción operativa

Un alto volumen de solicitudes falsas puede llevar al sistema de una empresa a colapsar o a un tiempo de inactividad, afectando la experiencia de los usuarios reales. La detección y respuesta al IRSF también puede interrumpir las operaciones comerciales regulares, desviando recursos y mano de obra de las actividades principales y puede causar la pérdida de ventaja competitiva.

Penalizaciones legales

Las empresas pueden ser multadas o procesadas si se demuestra que no han protegido adecuadamente los datos de sus clientes. Cualquier acusación de fraude de bombeo de SMS también puede resultar en que las organizaciones sean acusadas de ayudar y participar en fraude.

¿Cómo detectar el IRSF?

Detectar el IRSF es complicado ya que puede mezclarse con llamadas internacionales legítimas. Pero puedes mantenerte atento a estas señales:

• Investiga cualquier aumento repentino en el número de solicitudes de OTP en un corto período, especialmente de países donde tu negocio no tiene demasiados clientes.

• Presta mucha atención a la velocidad a la que se reciben las solicitudes de SMS de los usuarios. Ten cuidado con el IRSF cada vez que haya un aumento inexplicado en esos números.

• Pide a tus proveedores de OTP que señalen cualquier gran volumen de solicitudes de OTP desde destinos internacionales que tengan alto riesgo de fraude.

• Busca múltiples SMS dirigidos al mismo número o destino.

¿Cómo proteger tu negocio del IRSF con Prelude?

ISRF no es inevitable y tu empresa puede encontrar una solución para proteger a tus clientes (y tu presupuesto) de estos ataques.

En Prelude, nos enfocamos en hacer algunas cosas muy bien. Una de ellas es prevenir el IRSF, particularmente el Bombeo de SMS. El SDK y la API de Prelude están específicamente construidos para proteger a los clientes contra el IRSF dentro de sus flujos de verificación basados en OTP.

¿Cómo lo logramos?

• Utilizamos puntuación de riesgo basada en señales cruzadas para identificar el spam con la mejor precisión, de modo que nuestros clientes solo envíen mensajes SMS de OTP a usuarios reales.

• Enriquecemos nuestro análisis con bases de datos comerciales para una detección de fraude más precisa.

• Nuestro conocimiento es compartido entre todos nuestros clientes. Un ataque bloqueado beneficiará a todas las cuentas.

• En caso de un ataque, no bloqueamos transportistas o países enteros. En cambio, realizamos una puntuación de fraude granular e identificamos los problemas para que tu negocio no se vea afectado, ya sea por pérdidas financieras o suspensión de SMS necesarios. Preferimos ser precisos hasta el punto de que podemos ofrecer infraestructura de SMS en países no atendidos por competidores como Indonesia, Filipinas y Brasil, porque los clientes legítimos no deben sufrir debido a las acciones de los ciberdelincuentes.

También somos una empresa nativa de IA, lo que significa que podemos identificar mejor el fraude utilizando métodos de puntuación precisos que consideran heurísticas y datos enriquecidos. Los proveedores tradicionales solo miran un número de teléfono para determinar el fraude, pero entonces pagas por falsos negativos y pierdes crecimiento con falsos positivos.

Si hemos despertado tu curiosidad, puedes reservar una demostración para ver cómo Prelude envía SMS de OTP a un costo 60% menor que el de mercado, con un 99% de entregabilidad y un fraude asombrosamente mínimo.