Una crisis silenciosa se está desarrollando en la intersección de la infraestructura global de telecomunicaciones y las finanzas digitales. Los ciberdelincuentes están transformando en arma una función fundamental de todas las redes móviles—la desviación de llamadas mediante Datos Suplementarios no Estructurados (USSD)—para orquestar robos financieros a gran escala, eludiendo la autenticación multifactor (MFA) y otros controles de seguridad modernos con una facilidad alarmante. Esta economía del fraude explota una relación de confianza crítica entre los usuarios, sus dispositivos móviles y sus bancos, revelando una vulnerabilidad sistémica que la comunidad de seguridad se apresura a abordar.
La mecánica técnica es engañosamente simple pero devastadoramente efectiva. Los atacantes, a menudo haciéndose pasar por funcionarios bancarios, agentes de soporte técnico o representantes de telecomunicaciones, contactan a víctimas potenciales. Mediante una ingeniería social persuasiva, convencen al objetivo de marcar un código USSD específico, como 21, 61 o 67, seguido de un número de teléfono controlado por el estafador. Por ejemplo, se le puede decir a la víctima que marque 21
Una vez ejecutado, este código activa silenciosamente la desviación incondicional de llamadas en la línea de la víctima. Todas las llamadas entrantes y, críticamente, todos los SMS—incluyendo contraseñas de un solo uso (OTP), códigos de autorización de transacciones y mensajes de alerta bancaria—son redirigidos instantáneamente al número del criminal. El teléfono de la víctima no muestra una llamada en curso ni una indicación obvia de que la desviación está activa. Desde este momento, el atacante posee la identidad digital de la víctima para cualquier servicio vinculado a ese número de teléfono.
El estafador luego inicia transacciones en la aplicación bancaria o de pagos de la víctima. Cuando el banco envía un OTP para verificar la transacción, el SMS se reenvía sin problemas al criminal, quien completa la autenticación. La víctima permanece completamente inconsciente hasta que descubre sus cuentas vacías. Este vector de ataque es particularmente insidioso porque elude las medidas de seguridad instaladas en el dispositivo de la víctima, como antivirus o aplicaciones de mensajería segura; la compromiso ocurre a nivel de red.
Esta estafa destaca una falla arquitectónica profunda: la seguridad de todo el ecosistema de banca digital a menudo descansa en la integridad de una única función de telecomunicaciones heredada: la entrega de SMS. Los códigos USSD, diseñados hace décadas para la gestión básica de servicios, nunca se construyeron con las amenazas de seguridad modernas en mente. No requieren autenticación secundaria, ninguna confirmación del usuario más allá de marcar, y proporcionan una retroalimentación mínima. Esto crea un modelo de ataque de baja barrera y alta recompensa para los criminales.
El impacto es global, con informes significativos desde India, el Reino Unido y otras regiones. En India, las autoridades han emitido advertencias específicas sobre números que comienzan con secuencias como 21, 61 y *67. En el Reino Unido, el contexto de amenazas sofisticadas crecientes, incluyendo aquellas potencialmente vinculadas a grupos afiliados a estados, añade una capa de riesgo geopolítico a esta vulnerabilidad técnica. La estafa no se limita a ahorros individuales; las cuentas comerciales y los flujos financieros corporativos son igualmente susceptibles.
Para la comunidad de ciberseguridad, esto representa un desafío multifacético. Primero, es un problema de concienciación. Los usuarios finales, incluso los técnicamente expertos, no comprenden el poder de los códigos USSD. Segundo, es un problema de responsabilidad. Los operadores de telecomunicaciones poseen la infraestructura USSD, mientras que los bancos poseen el proceso de autenticación que depende de ella. Esto crea una brecha peligrosa en la rendición de cuentas y la remediación. Tercero, es un problema de tecnología heredada. Parchear o asegurar protocolos de señalización de telecomunicaciones con décadas de antigüedad es una tarea monumental con implicaciones de interoperabilidad global.
Las estrategias de mitigación deben estar igualmente estratificadas. En el frente de la educación del usuario, se necesita una campaña global para establecer una regla simple: nunca marcar un código sugerido por una llamada no solicitada. Los operadores de telecomunicaciones podrían implementar salvaguardas técnicas, como introducir mensajes de confirmación para comandos de desviación, añadir temporizadores de retraso para la activación, o permitir a los usuarios bloquear todas las solicitudes de desviación a través del portal de su cuenta. Los organismos reguladores deben presionar a los operadores para que traten la seguridad USSD con la misma urgencia que la integridad de la red.
Para las instituciones financieras, el imperativo es claro: la dependencia de OTP basado en SMS para transacciones de alto valor ya no es sostenible como único factor. Los bancos deben acelerar la adopción de alternativas más seguras, como notificaciones push a aplicaciones autenticadoras registradas, llaves de seguridad de hardware o verificación biométrica que esté vinculada al dispositivo y no pueda ser interceptada mediante desviación de red. Un enfoque de autenticación basado en riesgo, donde transacciones inusuales desencadenen un método de verificación diferente y más seguro, es esencial.
En última instancia, desmantelar esta economía del fraude requiere un esfuerzo coordinado entre industrias. Los equipos de ciberseguridad dentro de los bancos deben interactuar directamente con los equipos de seguridad en los proveedores de telecomunicaciones. El intercambio de información sobre números maliciosos y patrones de ataque debe ser en tiempo real y automatizado. La era de tratar la infraestructura de telecomunicaciones como una 'caja negra confiable' ha terminado. Sus vulnerabilidades son ahora directamente explotables para beneficio financiero, haciendo de su seguridad una preocupación central para cada Director de Seguridad de la Información (CISO) en el sector financiero y más allá. La conversión en arma de la desviación de llamadas es un recordatorio crudo de que en nuestro mundo digital interconectado, el eslabón más débil suele ser la tecnología más antigua que olvidamos proteger.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.