Millones de cuentas falsas por unos centavos: por qué la verificación por SMS ya no garantiza que seas humano
Investigadores detectan una vulnerabilidad crítica en el principal escudo de Interne
Uno de los principales muros de defensa contra la creación de cuentas falsas en internet resultó ser fácilmente vulnerable: se puede eludir por apenas unos centavos. Especialistas de la Universidad de Cambridge descubrieron que el sistema de verificación de identidad mediante SMS, que usan las redes sociales y otros servicios en línea, puede ser eludido masivamente con números temporales disponibles en el mercado gris.
La verificación telefónica se considera uno de los principales métodos para evitar el registro de cuentas falsas. Consiste en el envío de un código de activación al número de teléfono móvil, lo que debería garantizar la autenticidad del usuario. No obstante, en el marco del estudio el equipo recopiló datos sobre el funcionamiento de cuatro servicios —SMSActivate, 5Sim, SMShub y SMSPVA—, que ofrecen números de un solo uso a un precio de 10 a 30 centavos por activación. En algunos casos el costo no superó los 10 centavos, especialmente para números del Reino Unido, Rusia e Indonesia. Los más caros resultaron ser los números de Japón y Australia —hasta 5 y 3 dólares, respectivamente.
Al mismo tiempo, algunos servicios demostraron una efectividad evidente. En varias pruebas los autores del estudio lograron crear cuentas sin fallos, en especial teniendo en cuenta que los requisitos de verificación varían entre plataformas. Así, WhatsApp resultó ser claramente más estricto: la activación allí costó aproximadamente 3 dólares. En cambio, en la red social X la tarifa fue ocho veces menor: alrededor de 8 centavos. Según uno de los autores, esto puede deberse a que la moderación en X es notablemente más débil en comparación con otras plataformas.
La empresa WhatsApp ya comentó los resultados del estudio, señalando que valora cualquier trabajo que analice este tipo de servicios y que, además del número de teléfono, la plataforma emplea otras señales técnicas y de comportamiento para detectar infracciones. Los representantes de X no respondieron a las solicitudes. Uno de los servicios, SMSPVA, declaró que actúa legalmente, cumple todas las normas y atiende no solo a evaluadores, sino también a usuarios preocupados por la privacidad. Las demás plataformas mencionadas se abstuvieron de comentar.
El estudio incluyó la creación de un panel en línea, en el que se representan de forma clara los precios de los números de un solo uso por países y plataformas. Según uno de los revisores del trabajo académico, un profesor de la Universidad de Pittsburgh, los datos publicados subrayan la importancia del aspecto económico de la desinformación, ya que comprender el coste de eludir los mecanismos de protección ayuda a evaluar la magnitud de la amenaza.
Así, incluso las medidas básicas de autenticación que durante mucho tiempo se consideraron suficientemente fiables ya no proporcionan el nivel de protección necesario frente a la creación de cuentas falsas y la difusión de desinformación. El coste para eludir estas limitaciones es tan bajo que los atacantes pueden actuar prácticamente sin restricciones.
¿Estás cansado de que Internet sepa todo sobre ti?