El sistema RCS o “Servicio de Comunicación Enriquecida”, disponible en el sistema operativo Android, está presente a partir de la versión iOS 18 para los terminales iPhone y exige contar con un plan del operador que admita este servicio, pero ¿cómo afecta a la seguridad de los móviles? No se aconseja la comunicación entre usuarios de iPhone y Android por RCS, ya que no está todavía encriptada.

El nuevo estándar de mensajería de texto en los sistemas operativos iOS y Android ha supuesto una transformación en el intercambio de comunicaciones móviles. Llamado “Rich Communications Services” o “Servicio de Comunicación Enriquecida”. Se conoce popularmente por sus siglas en inglés, RCS, y supone una evolución de los tradicionales SMS o MMS. La diferencia con otros servicios es que este protocolo no es propiedad de ninguna compañía telefónica. En el caso de los dispositivos móviles iPhone se necesita tener instalada la última actualización iOS 18 y un plan de mensajería de texto de un operador.

Como una de las grandes ventajas se encuentra la posibilidad de enviar fotografías y vídeos en alta resolución y permite personalizar algunas funciones, tales como respuestas automáticas. Debido a que emplea la conectividad Wifi o el plan de datos móviles para transmitir la información, la comunicación RCS es equiparable a otras aplicaciones OTT (“Over the top”, por sus siglas en inglés) como WhatsApp, una de las más populares herramientas de comunicación en mercados como el español.

Posibles vulnerabilidades

Una ventaja que vemos es la verificación del ID de los remitentes, como sucede en las “apps” de mensajería. Este proceso es fundamental para proteger a los usuarios contra intentos de “phishing” y “spam” no deseado. Por lo que ofrece un nivel de confianza que hasta ahora no era posible con los SMS tradicionales.

En el diseño de RCS ha estado presente un sistema de encriptación de extremo a extremo como el que cuentan las principales herramientas de comunicación más avanzadas. Esta función supone un importante avance en comparación con los tradicionales SMS. A pesar de sus evidentes mejoras, esta tecnología no está exenta de vulnerabilidades. Ya que la transición hacia un sistema de mensajería basado en internet también le expone a potenciales ciberamenazas. De hecho, la clave radica en que puede incluir cifrado de extremo a extremo, pero su activación va a depender de cada operador.

A pesar de ello, podemos repasar las principales vulnerabilidades:

Posibles ataques de “phishing”

Hay que tener en cuenta las indudables ventajas de las comunicaciones RCS. Pero también pueden ser explotadas para organizar ataques de “phishing”. Una técnica de ingeniería social que consiste en el envío de correos electrónicos que suplantan la identidad de compañías u organismos públicos.

Según vemos en Panda Security, las avanzadas características como la posibilidad de enviar imágenes de alta calidad y contenido interactivo pueden ser utilizadas por parte de los cibercriminales para diseñar mensajes falsos aún más convincentes que engañen a los usuarios para revelar información sensible.

Como siempre decimos, para protegerte de este tipo de ataques es aconsejable no hacer clic en enlaces o descargar archivos adjuntos de correos electrónicos sospechosos. Así como verificar la autenticidad del remitente antes de proporcionar información personal.” comenta Hervé Lambert, Global Consumer Operations Manager de Panda Security. También debemos tener en cuenta la interoperabilidad, que es una ventaja y, a su vez, una desventaja. Ya que si se diera el caso que el contacto al que le escribes no está utilizando este protocolo no use el mensaje se enviará como un SMS normal, por lo que el cifrado no estaría activo.

Posibles datos interceptados

En principio, el sistema de encriptación nos proporciona una defensa bastante robusta, pero sabemos que no todos los mensajes se pueden encriptar porque depende de la configuración de cada usuario y de las capacidades de la red. “Por esta razón, creemos que hay un espacio desde donde pueden ser interceptados en redes menos seguras. Es recomendable, como siempre decimos también, no conectarse a redes Wifi públicas y evitar revelar información sensible que pueda afectar a tus cuentas bancarias”, explica Hervé Lambert.

El FBI advierte de los potenciales riesgos

Nos detenemos ahora a mirar al exterior porque de esta manera podemos anticiparnos a lo que viene. Veamos. A lo largo del año ya se han detectado casos de mensajes interceptados vinculados a grupos de ciberdelincuentes procedentes de China, según las investigaciones que han comunicado desde el FBI. La gracia de todo esto es que los grupos de atacantes han explotado una vulnerabilidad en el protocolo RCS por la falta de un sistema por defecto de cifrado de extremo a extremo.

Esta campaña de ciberespionaje ha puesto en el punto de mira a los dispositivos iOS y Android. Que representan la práctica totalidad de la cuota de mercado a nivel mundial. Las autoridades estadounidenses han asegurado que detrás de todo esto se encuentra el grupo de ciberdelincuentes chinos Salt Typhoon. Quienes comprometieron en octubre las redes de telecomunicaciones en Estados Unidos.

Las autoridades han considerado que tiene una brecha de seguridad en el momento en el que se utiliza entre dispositivos de distintos sistemas operativos. Una de las recomendaciones es utilizar aplicaciones que cuentan con sistemas de cifrado de extremo a extremo, como WhatsApp o Telegram, cuando se intercambien mensajes a través de un ecosistema distinto al del terminal emisor. De esta manera, se pueden reducir las posibilidades de ser interceptados.

La GSMA, la principal organización de operadores del mundo, ha asegurado que RCS incluirá próximamente el primer sistema de cifrado de extremo a extremo de mensajes estandarizado entre diferentes plataformas. “En cualquier caso, recomendamos, además, no compartir información sensible. Tales como documentos, informes de empresas o números de tarjetas de crédito, ante el posible riesgo que presenta el estándar RSC en estos momentos hasta que se implemente un sistema de cifrado estandarizado en esta tecnología”, termina Lambert.