AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

ING apuesta por RCS para blindar la seguridad de sus comunicaciones con clientes

admin

Introducción

En un contexto donde el phishing y el smishing continúan siendo vectores de ataque predominantes en el sector financiero, ING España y Portugal ha dado un paso adelante en la protección de sus canales de comunicación con clientes. La entidad ha anunciado la sustitución progresiva del tradicional canal SMS por la tecnología RCS (Rich Communication Services), posicionándose así como uno de los primeros bancos en adoptar este estándar de mensajería enriquecida para operaciones críticas. Este movimiento estratégico busca mitigar los fraudes asociados a la suplantación de identidad y reforzar la confianza en las interacciones digitales bancarias.

Contexto del Incidente o Vulnerabilidad

El canal SMS, empleado históricamente para la autenticación de doble factor (2FA), envío de alertas y notificaciones transaccionales, ha quedado expuesto a múltiples amenazas. Ataques como el SIM swapping, la manipulación de mensajes a través de SS7 o la suplantación de remitentes (SMS spoofing) han provocado innumerables incidentes de fraude bancario en Europa. Según datos del Banco de España y la Agencia Española de Protección de Datos (AEPD), los incidentes de smishing aumentaron cerca de un 35% en 2023 respecto al año anterior, con pérdidas superiores a los 12 millones de euros.

Ante esta situación, ING ha optado por implementar RCS, una tecnología impulsada por la GSMA y adoptada por grandes operadores y fabricantes, que añade capas de seguridad y autenticación al canal de mensajería tradicional.

Detalles Técnicos

RCS es un estándar de mensajería enriquecida que permite la transmisión de mensajes cifrados, multimedia y con verificación de remitente entre dispositivos compatibles. A diferencia del SMS, el canal RCS soporta autenticación de extremo a extremo mediante certificados digitales y mecanismos de verificación de marca (Verified Sender).

El vector de ataque predominante en los canales SMS tradicionales se encuadra dentro de las técnicas de «Phishing» y «SMS Spoofing», catalogadas en MITRE ATT&CK bajo los TTPs T1566.001 (Phishing: Spearphishing Attachment) y T1589 (Gather Victim Identity Information). Con RCS, la posibilidad de suplantar la identidad del remitente se reduce significativamente porque los mensajes sólo se entregan si la identidad del emisor ha sido verificada por el operador de red y Google Verified SMS.

Asimismo, la trazabilidad de los mensajes en RCS dificulta la interceptación y manipulación de los mismos, mitigando ataques conocidos como Man-in-the-Middle (MitM) sobre protocolos antiguos como SS7. Desde el punto de vista de la monitorización SOC, los Indicadores de Compromiso (IoC) asociados a ataques de smishing (URLs maliciosas, dominios fraudulentos, números de remitente falsificados) se ven mitigados al establecerse una relación de confianza certificada entre emisor y receptor.

Actualmente, no se han publicado CVEs relevantes que afecten directamente al protocolo RCS, aunque existen investigaciones sobre posibles vulnerabilidades en la implementación por parte de ciertos operadores o dispositivos Android.

Impacto y Riesgos

El despliegue de RCS en banca representa una mejora sustancial en el control de acceso, la autenticación y la protección contra el fraude por ingeniería social. Sin embargo, el impacto real dependerá del grado de adopción entre los clientes, ya que la compatibilidad de RCS requiere que tanto el dispositivo como el operador soporten el estándar.

La superficie de ataque se reduce notablemente frente a amenazas tradicionales, aunque persisten riesgos residuales asociados a la explotación de fallos de configuración, posibles ataques de malware en dispositivos móviles o ingeniería social avanzada. Es relevante destacar que, según la GSMA, la tasa de entrega segura en RCS supera el 99%, frente al 85% del SMS tradicional.

Medidas de Mitigación y Recomendaciones

Para los equipos de ciberseguridad, la adopción de RCS implica revisar las políticas de gestión de identidades, actualizar procedimientos de respuesta ante incidentes y monitorizar el canal para detectar anomalías en la mensajería. Se recomienda:

– Verificar la autenticidad y configuración de los remitentes RCS a través de Google Verified SMS u otras plataformas certificadas.
– Actualizar los procedimientos de onboarding de clientes, informando sobre los cambios en los canales de comunicación verificados.
– Mantener dispositivos móviles actualizados y protegidos contra malware.
– Implementar soluciones de Mobile Threat Defense (MTD) para monitorizar amenazas emergentes en dispositivos endpoints.
– Revisar el cumplimiento de GDPR y NIS2 en la gestión y almacenamiento de datos transaccionales y de mensajería.

Opinión de Expertos

Especialistas en ciberseguridad bancaria, como Jorge Ruiz (CISO de una entidad española), destacan que “la transición a RCS es fundamental para reducir el fraude de suplantación, pero requiere una labor pedagógica para que el usuario entienda y confíe en el nuevo canal”. Por su parte, analistas de ENISA advierten que “ninguna tecnología es infalible, por lo que la seguridad debe contemplarse como un proceso integral que combine tecnología, formación y monitorización”.

Implicaciones para Empresas y Usuarios

Las organizaciones financieras deben adaptar sus infraestructuras de mensajería y sus estrategias de concienciación al cliente para maximizar el retorno de la inversión en seguridad. La adopción de RCS puede suponer un valor diferencial en términos de cumplimiento normativo (GDPR, NIS2), protección de marca y reducción del fraude, siempre que se acompañe de políticas sólidas de autenticación y respuesta a incidentes.

Para los usuarios, el cambio supone una experiencia más segura y transparente, aunque también implica la necesidad de actualizar terminales y familiarizarse con las nuevas notificaciones verificadas.

Conclusiones

La decisión de ING de implementar RCS como canal principal de comunicaciones con sus clientes marca un hito en la evolución de la seguridad bancaria en España y Portugal. Si bien elimina buena parte de los riesgos asociados al SMS tradicional, su éxito dependerá de la rapidez de adopción y la madurez de las soluciones asociadas. Los equipos de ciberseguridad deben estar preparados para adaptar sus procesos y aprovechar las ventajas de RCS, sin bajar la guardia ante amenazas emergentes.

(Fuente: www.cybersecuritynews.es)