Hoy he leído la noticia, parece que por fin las operadoras se suben al carro del RCS, al menos dos de las grandes ya están en ello y se espera que se unan el resto, pero el tiempo lo dirá …
Supongo que si no sabes que es RCS o incluso si sabes lo que es te preguntarás: ¿que tiene que ver esto con la ciberseguridad? Normalmente todos o casi todos los posts de este blog estan relacionados de alguna manera … tiempo al tiempo, si sigues leyendo hasta el final entenderás el motivo de porque he escogido este tema para el blog.
RCS (Rich Communications Services) es la propuesta de nuevo estándar de mensajería apoyado por Google y 50 operadores internaciones y marcas tecnológicas, es un protocolo de comunicaciones que mejora las capacidades que tenían los SMS, la idea básica es que los acaben sustituyendo, ya que está pensado para ser un sistema multiplataforma e independiente del sistema operativo, por lo que cada marca podrá en principio seguir utilizando su propia aplicación mientras soporte este nuevo estándar.
Además ya prevé la convivencia de ambos, si se envía un mensaje RCS y el receptor no puede recibirlo, en principio recibirá un SMS, aunque con las capacidades mermadas, dado que no se pueden realizar las mismas funciones en el nuevo sistema que en el digamos tradicional de mensajería.
Digo que es un nuevo sistema, porque aún no ha llegado a estar operativo, pero en realidad existe desde hace bastantes años, se creó en 2008, pero no fue hasta noviembre de 2016 que la GSMA lanzó el estándar oficial (la GSMA es la asociación a nivel mundial de operadores de telefonia y compañías relacionadas que promueve la normalización y creación de estandares). Por otro lado, pare que los operadores aunque se convirtiera en un estándar se han estado resistiendo a implantarlo por motivos que desconozco (podría especular suponiendo que serán económicos, dado que hoy en día los SMS ya no suponen un negocio).
Pero parece que las operadoras quieren recuperar el protagonismo en cuanto a la mensajería instantanea que ahora copan aplicaciones como Whatsapp, Telegram y otras opciones, las cuales son propietarias y siguen su propio sistema cada una, de hecho, hace algunas semanas Whatsapp anunciaba que se podría integrar con Telegram, aunque no sé si quizá es demasiado tarde, eso el tiempo lo dirá.
Las principales bazas de RCS son con respecto a los SMS, dado que implementan funcionalidades que ya estabán incluidas en las otras plataformas de mensajería y que a continuación pasó a resumir las principales:
- Funciones mejoradas: opciones de chats en grupo, envío de imagenes y videos en alta calidad, acuses de recibo, indicadores de escritura y poder compartir ubicación
- Interactividad: al utilizar contenido enriquecido, permite confirmar asistencia a eventos, realizar compras y reservar citas sin salir de la conversación
- Integración con servicios: se puede integrar con servicios empresariales, lo que facilita la interacción de las empresas con sus clientes para realizar transacciones, proporcionar soporte y enviar notificaciones
- Compatibilidad multiplataforma: la interoperatividad de plataforma y sistema operativa es básica para su exito, la propuesta esta pensada como sustituto del SMS, cosas que de momento tampoco había conseguido totalmente ninguna de las plataformas de mensajería actuales, aún teniendo más capacidades
- Seguridad y privacidad: incluye características de seguridad mejoradas, como puede ser el cifrado extremo a extremo (aunque es opcional) y controles de privacidad mejorados para proteger la información durante las conversaciones
Y es basicamente, por este último punto que estoy comentando aquí esta noticia. Sobre el papel está claro que mejora las capacidades con respecto al SMS y devuelve el control de la mensajería instantanea a las operadoras que practicamente lo habían perdido, pero viendo las funciones que se ofrecen surgen muchas dudas, para las que de momento no tengo respuesta, dado que aún no he probado este sistema, en cuanto a la seguridad y la privacidad de la solución.
Ya en 2019 se publicó un artículo de investigación en el que se hablaba de los bugs, no del protocolo en si, sino de las aplicaciones que lo implementaban, espero que todos estos años transcurridos hayan servido para corregirlos. Todas esas funciones mejoradas que tanto nos interesan, también pueden afectar y mucho a la privacidad y la seguridad, de hecho parece que el cifrado extremo a extremo no es mandatorio, lo cual se desconoce si es intencionado, ya que podría haber la necesidad por parte de los Estados de poder acceder de forma más simple al intercambio de mensajes, en base a la seguridad nacional (los argumentos que siempre se esgrimen en estos casos) y que habrá casos justificados (no lo dudo), pero cuando se da de forma genérica y global no me lo parece.
Por otro lado, otro de los motivos que me han impulsado a escribir estas lineas es que hay dos grandes operadoras que van a incluir esta función en España y que al menos en las noticias se ha visto como la respuesta que se esperaba a las numerosas suplantaciones de identidad, smishing, fraudes, timos, etc. que se han estado dando tan recientemente, por la facilidad con la cual actualmente se puede modificar el Caller ID.
Con este nuevo sistema, las operadoras validarían que el mensaje tiene el origen que dice tener y no uno suplantado, eso ya supondría una gran mejora. Pero como siempre digo, no es oro todo lo que reluce y ya he comentado antes, que todo dependera de que no se descubran bugs en los protocolos utilizados y/o en las aplicaciones que manejen los mensajes/chats RCS.
Una cosa si está clara, gran parte de la sociedad estaba demandando que las operadoras de telecomunicaciones tomaran cartas en el asunto de la suplantación de los Caller IDs en llamadas y SMS, ya que hasta ahora habían mirado hacía otro lado, existiendo medios técnicos que podrían haber permitido frenar o al menos dificultar el trabajo de los actores maliciosos, porque no nos engañemos, si se saca una medida de protección, siempre hay alguien buscando la forma de saltarsela.
La proliferación de los mensajes fraudulentos vía SMS no son fruto de la casualidad, dado que en una pantalla pequeña y táctil, es mucho más fácil realizar “click” sobre un enlace malicioso, que por lo general viene acortado y a partir de aquí ser conducidos a una página fraudulenta similar a la que supuestamente nos debía llevar o bien a la instalación de algún malware, explotación de alguna vulnerabilidad, etc. y si además contamos con que hay personas que no saben que el origen del mensaje se puede suplantar, pues ya tenemos la tormenta perfecta para convertirse en victima de una estafa o fraude de algún tipo.