Si estás desarrollando una aplicación que requiere que los usuarios ingresen un número de teléfono y reciban un SMS, deberías preocuparte por el fraude — Fraude Internacional de Compartición de Ingresos en particular.

Con un incremento del 12% en pérdidas por fraude reportadas en 2023 en comparación con 2021, lo que equivale a una pérdida estimada de $38.95 mil millones, el fraude en telecomunicaciones se está convirtiendo en una amenaza mayor para los ingresos empresariales.

Aunque, desafortunadamente, hay demasiados tipos diferentes de fraude, uno que afecta a casi todos los actores de la industria de telecomunicaciones es el Fraude Internacional de Compartición de Ingresos (IRSF). Incluso si tu aplicación no ofrece directamente un servicio de telecomunicaciones, puede verse afectada durante los intentos de verificación y autenticación de usuarios.

En este artículo, discutiremos qué es el IRSF y cómo afecta a las empresas y a los clientes que utilizan mecanismos de verificación basados en SMS y OTP.

¿Qué es el Fraude Internacional de Compartición de Ingresos (IRSF)?

El Fraude Internacional de Compartición de Ingresos, o IRSF, es una forma de fraude financiero en la que los cibercriminales aprovechan las complejas estructuras de precios de las llamadas y SMS internacionales para generar y desviar ingresos a sus propias cuentas. Este tipo de fraude también se llama Fraude de Bombardeo de SMS o Fraude de Peaje SMS.

El Fraude de Bombardeo de SMS se comete cuando los estafadores inflan artificialmente el volumen de mensajes SMS internacionales enviados a números de tarifa premium. Usualmente lo hacen engañando a aplicaciones para que completen registros falsos o solicitudes de verificación de teléfono en esos números premium. Estos números tienen tarifas más altas, y la aplicación atacada por dichos estafadores paga el costo.

Y estos costos pueden llegar a ser astronómicos. En 2023, Elon Musk reveló que Twitter perdió $60 millones al año debido al Fraude de Bombardeo de SMS!

¿Cómo funciona el IRSF?

El estafador adquiere un rango de números de teléfono de tarifa premium (IPRN) que utilizará para registrarse en diferentes aplicaciones con registros de verificación por teléfono.

Generalmente operan desde países donde las regulaciones en esta área son laxas o débilmente implementadas.

El estafador a menudo está en connivencia con una compañía de telecomunicaciones, operador o cualquier persona que opere una capa entre el mensaje y el destinatario final, como el agregador de SMS. De hecho, las compañías de telecomunicaciones tienen que llegar a acuerdos para compartir ingresos con otros operadores para facilitar los mensajes internacionales. Mientras que estos acuerdos están destinados a ser mutuamente beneficiosos, crean brechas para que los estafadores exploten.

Los estafadores luego bombardean a una empresa con solicitudes de OTP falsas a números premium que ellos (las personas fraudulentas) controlan. La empresa acumula una gran factura, mientras que el estafador y el operador/comercializador de telecomunicaciones comparten el dinero obtenido por los números premium.

El IRSF también puede ocurrir dentro de rutas normales de telecomunicaciones a números regulares. Pueden no costar tanto, pero acumulan suficiente dinero robado para que el fraude valga la pena. Esto es lo que hace que el IRSF sea tan difícil de detectar.

Esta forma de fraude es estructuralmente difícil de combatir, que ha captado la atención de Europol, como debería.

"Este es el esquema de fraude más perjudicial hasta la fecha, donde un criminal se asocia con un proveedor de Números de Tarifa Premium Internacional (IPRN) que cobra altas tarifas... y acuerda compartir ingresos por cualquier tráfico generado por el estafador." — Europol

Otros métodos de ataque del IRSF

Mientras que el fraude de bombardeo de SMS es el más común y el que puede generar mayores pérdidas para las empresas, los estafadores pueden usar una gama de métodos de ataque:

Piratería de PBX

Explotando vulnerabilidades en los sistemas de Intercambio de Sucursal Privado (PBX) - redes telefónicas utilizadas dentro de una empresa - los estafadores pueden redirigir llamadas a números de tarifa premium.

Fraude Wangiri

También conocido como fraude de "una llamada", los atacantes realizan llamadas breves a objetivos, incitándolos a devolver la llamada. La llamada de retorno se dirige a un número de tarifa premium.

Intercambio de SIM

Los estafadores toman control del número de teléfono de una víctima engañando al proveedor de servicios móviles para que intercambie el número a una tarjeta SIM que ellos controlan. Esto les permite recibir llamadas y mensajes destinados a la víctima.

Fraude Roaming

Los estafadores pueden explotar acuerdos de roaming internacional para hacer llamadas facturadas a otra red, usando tarjetas SIM robadas o clonadas o aprovechando los retrasos en la facturación de registros de llamadas internacionales.

¿Qué empresas deberían preocuparse por el IRSF?

Aunque ciertos sectores están más expuestos a ataques fraudulentos, como finanzas, salud o aplicaciones sociales, cualquier empresa internacional que envíe mensajes de verificación al mundo necesita estar preocupada por el IRSF.

No tiene que ser necesariamente una gran marca o aplicación. Mientras la aplicación tenga un campo de entrada para un número de teléfono y esté diseñada para enviar un SMS a alguien, es vulnerable al IRSF.

Ya sean aperturas de cuentas, registros de usuarios o verificaciones de transacciones, los estafadores pueden secuestrar cualquier entrega basada en SMS.

Si manejas o trabajas en una empresa así, no tienes que preguntar, “¿Puede afectarnos?” Debes preguntar, “¿Cuándo nos afectará?”

¿Cómo impacta el IRSF a las empresas?

Pérdidas financieras

Las empresas enfrentan pérdidas financieras directas por el IRSF, a menudo resultando en facturas telefónicas exorbitantes debido a usuarios falsos.

Este fraude también viene con costos indirectos, como el costo de investigar y mitigar el fraude, y costos operativos adicionales.

Daño a la reputación

Si los clientes son afectados directamente por el fraude o si su seguridad de información se ve comprometida, esto puede llevar a daños severos en la confianza de clientes y empleados.

Algunas empresas pueden sentirse tentadas a responder al fraude bloqueando países y regiones enteras, frustrando a los usuarios reales que tienen allí.

Interrupción operativa

Un alto volumen de solicitudes falsas puede llevar al colapso o inactividad del sistema de la empresa, impactando la experiencia de los usuarios reales. La detección y respuesta al IRSF también puede interrumpir las operaciones comerciales regulares, desviando recursos y mano de obra de actividades principales y puede causar la pérdida de ventaja competitiva.

Penalidades legales

Las empresas pueden ser multadas o procesadas si se demuestra que no han protegido adecuadamente los datos de sus clientes. Cualquier acusación de fraude de bombardeo de SMS también puede resultar en que las organizaciones sean acusadas de ayudar e incitar al fraude.

¿Cómo detectar el IRSF?

Detectar el IRSF es complicado ya que puede mezclarse con llamadas internacionales legítimas. Pero puedes estar atento a estas señales:

• Investiga cualquier pico repentino en el número de solicitudes de OTP en un corto período de tiempo, especialmente de países donde tu negocio no tiene muchos clientes.

• Presta mucha atención a la velocidad a la que llegan las solicitudes de SMS de los usuarios. Ten cuidado con el IRSF cada vez que haya un aumento inexplicable en esos números.

• Pide a tu proveedor que marque grandes volúmenes de solicitudes de OTP de destinos internacionales que están en alto riesgo de fraude.

• Busca múltiples SMS dirigidos al mismo número o destino.

¿Cómo proteger tu negocio del IRSF con Prelude?

El ISRF no es inevitable y tu empresa puede encontrar una solución para proteger a tus clientes (y a tu presupuesto) de estos ataques.

En Prelude, nos enfocamos en hacer unas pocas cosas muy bien. Una de ellas es prevenir el IRSF, en particular el Bombardeo de SMS. El SDK y API de Prelude están específicamente construidos para proteger a los clientes contra el IRSF dentro de sus flujos de verificación basados en OTP.

¿Cómo logramos esto?

• Usamos puntuación de riesgo cruzada para identificar spam con la mejor precisión, para que nuestros clientes solo envíen OTP SMS a usuarios reales.

• Enriquecemos nuestro análisis con bases de datos comerciales para una detección de fraude más precisa.

• Nuestro conocimiento se comparte entre todos nuestros clientes. Un ataque bloqueado beneficiará a todas las cuentas.

• En caso de un ataque, no bloqueamos operadores o países enteros. En su lugar, hacemos una puntuación de fraude granular y señalamos los problemas para que tu negocio no sea afectado, ya sea a través de pérdida financiera o suspensión de SMS necesarios. Preferimos ser precisos al grado que podemos ofrecer infraestructura SMS en países no atendidos por competidores como Indonesia, Filipinas y Brasil — porque los clientes legítimos no deben sufrir debido a las acciones de cibercriminales.

También somos una empresa nativa de IA, lo que significa que podemos identificar mejor el fraude utilizando métodos de puntuación precisos que consideran heurísticas y datos enriquecidos. Los proveedores tradicionales solo miran un número de teléfono para determinar el fraude, pero entonces estás pagando por falsos negativos y perdiendo crecimiento con falsos positivos.

Si hemos despertado tu curiosidad, puedes reservar una demostración para ver cómo Prelude envía OTP SMSes a un 60% menos del costo de mercado, con un 99% de entregabilidad y un fraude sorprendentemente mínimo.