Perfiles de operadores rusos emergentes en el sur de Ucrania ocupado

En nuestra serie anterior de blogs de 3 partes, cubrimos muchos aspectos del uso de redes móviles en la invasión rusa de Ucrania en 2022. Un área particular que cubrimos fue la expansión de los operadores móviles separatistas rusos anteriormente poco conocidos en el Donbass, y la posible aparición de nuevos operadores móviles separatistas rusos en el sur de Ucrania. Desde entonces, las líneas generales de la estrategia rusa en el área de las telecomunicaciones se han vuelto más claras. En este blog, como parte de nuestra presentación en el Conferencia VirusBulletin2022mibrindamos una actualización de estos desarrollos de redes móviles y revelamos nuevas investigaciones que nos permiten asociar estos nuevos operadores móviles con otros bajo control ruso.

Leer más

Pruebas de penetración del servidor web: definición, lista de verificación y herramientas

A medida que los servidores web se vuelven un objetivo cada vez más popular para los ciberdelincuentes, es más importante que nunca que las empresas se aseguren de que sus sistemas sean seguros. Una de las mejores formas de hacerlo es a través de pruebas de penetración del servidor web, que implica simular un ataque cibernético para identificar vulnerabilidades.

Leer más

Conoce a John Hughes, el nuevo responsable de Enea AdaptiveMobile Security

Esta semana le damos la bienvenida a John Hughes al puesto de vicepresidente sénior y director de Enea AdaptiveMobile Security. Con más de 20 años de experiencia en las industrias de las telecomunicaciones y la ciberseguridad, John combina su profundo conocimiento de los clientes y de la industria con una capacidad comprobada para crear y ofrecer software y servicios de inteligencia líderes en el mundo a escala y con la agilidad necesaria en el dinámico sector de la ciberseguridad.

Leer más

Las 5 principales amenazas de mensajería A2P que afectan la reputación y la rentabilidad de la marca

Cuando se trata del ecosistema de mensajería, sabemos que el panorama de amenazas está en constante evolución a medida que los atacantes varían sus métodos para eludir las nuevas regulaciones y otros desarrollos, pero la amenaza significativa para las empresas marca la reputación y la rentabilidad siguen siendo una constante.

Leer más

Lo que necesitas saber

El mundo de la seguridad digital ha estado en el punto de mira por varios motivos en el último año. Varios incidentes de alto perfil han impactado directamente al público en general, desde ataques cibernéticos hasta escándalos de privacidad.

Leer más

Regulación sobre mensajería A2P y mejores prácticas

Nuestro Director de Estrategia, Simeon Coney, habló recientemente con James Williams, Director de Programa en Mobile Ecosystem Forum, en el evento MEF Business Connects Hybrid. Profundizaron en el tema de la Regulación en el área de mensajería A2P, explorando lo bueno, lo malo y lo feo de las acciones regulatorias que hemos visto hasta ahora en la industria.

El propósito de la sesión fue considerar el impacto de la regulación en Business Messaging. Este blog cubrirá algunos de los principales puntos de discusión y conclusiones de la sesión. Hay un video disponible bajo demanda. aquí.

¿Cuál es el papel de Enea AdaptiveMobile Security en la mensajería A2P?

Nuestra misión siempre ha sido ofrecer soluciones sólidas de protección y control para el mercado de la mensajería. Es más importante que nunca, ya que vemos un aumento en las comunicaciones comerciales A2P, y en Enea hacemos que toda la experiencia de estar conectado digitalmente en su dispositivo sea más segura.

hemos estado trabajando con operadores de redes móviles, agregadores y CPaaS proveedores durante los últimos 18 años para proteger a los suscriptores identificando y bloqueando el tráfico de SMS incorrecto. A medida que vemos que el uso de SMS se mueve cada vez más de las comunicaciones P2P (persona a persona) a B2B (empresa a empresa), existen desafíos complejos para la industria móvil para proteger la comunicación SMS.

Ya no se trata simplemente de prevenir el spam; Necesitamos abordar las comunicaciones no deseadas, analizar una clasificación de contenido más compleja, permitir que los suscriptores expresen preferencias y detectar comportamientos de envío y compromisos que están contaminando el canal de SMS y dañando a los usuarios finales.

¿Qué amenazas SMS vemos?

Enea AdaptiveMobile Security protege a casi una cuarta parte de la población mundial con nuestro Protección de mensajería, que cubre Anti-Spam, protección de ruta gris A2P y gestión de tráfico comercial A2P. A partir de nuestra inteligencia global, vemos un amplio espectro de comportamientos de SMS que se activan en nuestras soluciones, como prácticas de envío bien intencionadas pero deficientes, violaciones de contratos y normativas, hasta ataques maliciosos muy intencionales que buscan defraudar a los consumidores o empresas.

¿Qué papel está jugando la regulación en la mensajería SMS A2P?

Ha habido muchos cambios en el mercado de SMS A2P en los últimos tiempos, y queremos centrarnos en la regulación y la conciencia de la industria sobre las mejores prácticas. Cuando la regulación se encuentra con la industria, a menudo hay un retraso en el tiempo y lagunas en el conocimiento. Queremos explorar cómo podemos mejorar las mejores prácticas y operaciones para todo el ecosistema. La regulación proporciona grandes garantías para los ciudadanos y las regulaciones bien elaboradas lo facilitan.

¿Cuáles son algunas de las amenazas para el mercado de SMS A2P?

En general, la industria está de acuerdo en que ha habido un aumento en la cantidad de amenazas y ataques que utilizan SMS para defraudar a los consumidores. Tenemos una visión global de más de 50 000 millones de eventos de amenazas diarios y, en la actualidad, vemos dos áreas de amenazas para el mercado A2P que las organizaciones deberían planificar para mitigarlas: amenazas de seguridad y fatiga del consumidor.

Amenazas de seguridad

Estas amenazas a menudo se basan en eventos o problemas. Hemos observado que cualquier crisis, elemento de interés periodístico o debilidad del sistema será utilizado por los atacantes como cebo para estafar a los suscriptores. La pandemia de Covid-19 es un fuerte ejemplo de este tipo de comportamiento. Cubrimos esto en nuestro Blog, explicando cómo los atacantes usaron la pandemia global para engañar a los suscriptores usando el miedo. “Nunca dejes que una buena crisis se desperdicie” es el lema de los criminales, y buscarán beneficiarse de la desgracia de los demás. Hubo una fuerte reacción de la industria a este tráfico malicioso temático de Covid-19 en particular, con MEF iniciando un registro de ID de remitente de SMS en Irlanda.

fatiga del consumidor

Una amenaza importante para los SMS A2P es la fatiga del consumidor debido a la mala calidad de los mensajes en su bandeja de entrada, tanto spam/phishing (especialmente de identidades de remitentes confiables) como mensajes A2P legítimos pero enviados desde identidades de envío desconocidas (causado por Gray Routes). Esto lleva a la posibilidad real de que los consumidores no lean ni interactúen con los mensajes comerciales a través de SMS.

¿Cuáles son algunos de los desafíos que enfrentan los remitentes de SMS A2P?

Análisis de tráfico complejo y reglas regulatorias

No se trata solo de procesar el tráfico de correo no deseado y los controles de ruta gris que los firewalls deben realizar. Cada vez hay más normas reglamentarias cuyo cumplimiento debe garantizarse. Este análisis requiere conocimientos mucho más amplios que los simples cheques falsificados o falsificados, el análisis de palabras clave o expresiones regulares.

Incremento de Quejas de Clientes y contaminación del canal SMS

Estos desafíos no están restringidos a ninguna geografía. Estamos viendo a los reguladores respondiendo a los cambios de los clientes y del mercado en todo el mundo. A medida que crece el tráfico de SMS A2P, es lógico que los clientes y los reguladores le presten más atención, ya que inevitablemente habrá un aumento en las quejas de los clientes en línea con el crecimiento de los volúmenes de tráfico.

Apoyar a los consumidores en una amplia gama de industrias

En los últimos años, la industria móvil se ha convertido en una de las industrias más interconectadas. Existe una dependencia creciente de los dispositivos móviles para muchas otras industrias, lo que significa que ahora tenemos la complejidad adicional de no solo cumplir con nuestra propia regulación, sino también con otras regulaciones de la industria. Un buen ejemplo de esto es el impacto SMS phishing tiene en la industria bancaria. Estamos empezando a ver una regulación financiera que se impone a la regulación móvil.

¿Cuáles son algunos de los mayores desafíos para los reguladores?

Rapidez de respuesta

Los reguladores enfrentan grandes desafíos para combatir los malos comportamientos de envío. En primer lugar, ¿cómo pueden obtener información adecuada y oportuna para tomar decisiones? A menudo responden a los problemas después del hecho. Desafortunadamente, la regulación siempre va a la zaga del mercado y de los problemas que allí se enfrentan.

Realidad de las Operaciones Prácticas de la Industria de Mensajería

Cuando los organismos reguladores hacen recomendaciones, los grupos de la industria, como la comunidad MEF, están en una buena posición para revisar el impacto práctico. Se debe tener cuidado con las declaraciones realizadas sin conocimiento de los aspectos prácticos operativos.

Por ejemplo, ha habido amplias declaraciones con respecto a problemas de seguridad de SMS como ‘SMS nunca debe usarse para enviar 2FA (autenticación de dos factores)’.

Si bien existen otras soluciones técnicas para 2FA, muchas de ellas solo funcionan para una minoría de usuarios. Algunos no tienen teléfonos inteligentes, conexiones de datos o dispositivos biométricos. A diferencia de muchas de estas soluciones, SMS es omnipresente y funciona para todos los usuarios, por lo que no podemos descartar su uso en este sentido. Se requiere este tipo de conocimiento y datos de la industria para ayudar a guiar la dirección de la regulación.

¿Cuándo falla la regulación de la industria móvil?

Vemos un amplio espectro de regulaciones e inconsistencias regulatorias. Desde una regulación ligera, en la que los reguladores intentan facilitar un ecosistema eficaz, hasta una regulación muy estricta, bien intencionada pero mal ejecutada.

A menudo, las reglas estrictamente definidas no funcionan. Desafortunadamente, las reglas definidas de forma prescriptiva ofrecen a los remitentes maliciosos un límite claro para trabajar. Un ejemplo de esto es la regulación donde hay un límite de envío por cliente para SMS. Si un país regula que está permitido enviar hasta 100 mensajes por identidad de la parte que envía, y que los mensajes en ese rango se consideran todos comunicaciones personales, las pandillas pueden enviar mensajes programáticamente de acuerdo con estos límites para evitar los umbrales de detección. Si bien esta es una regla bien intencionada de los reguladores, es absolutamente ineficaz.

El siguiente gráfico ilustra un ejemplo de una banda que usa un umbral de detección para su ventaja, con el eje horizontal que representa la cantidad de mensajes enviados por remitente único y el vertical que representa el volumen de mensajes enviados por día. Podemos ver una gran cantidad de usuarios (miembros de una pandilla), cada uno de los cuales envía un poco menos del umbral de 100 mensajes por día, lo que significa que no serán detectados.

Gráfico de la ventaja de hablar en pandillas de la regulación del umbral de mensajes

Número de mensajes enviados por remitente único, por día.

¿Cuáles son las opciones si no tiene límites de envío estrictamente definidos?

La razón por la que la regulación impone límites de envío es que contar es fácil. Sin embargo, en lugar de solo contar, se debe analizar el contenido o la intención de las comunicaciones por SMS. Como organismo de la industria, MEF tiene los datos globales para apoyar y ayudar a los reguladores a aprender.

El análisis de comportamiento relacionado con el contenido de SMS es difícil

El análisis profundo de datos de SMS puede no ser tan fácil como contar, pero con avances tecnológicos es posible. Hay muchos desafíos prácticos, por ejemplo, cierto contenido, como juegos de azar, contenido pornográfico, religioso y político, puede estar prohibido según la geografía. ¿Quién define lo que constituye ese ‘tipo’ de contenido? La ambigüedad en la regulación puede crear problemas mucho mayores que la intención original de la propia regulación.

Necesitamos considerar no solo la clasificación del contenido, sino también las reglas sobre cuando El contenido puede ser enviado. ¿Quién quiere ser molestado por mensajes de texto promocionales en medio de la noche? Requiere que las partes que envían sean conscientes del tipo de mensaje que se envía: la responsabilidad recae en la última parte que lleva el mensaje, por lo que los agregadores serán responsables.

¿Cómo pueden los agregadores establecer qué envío es correcto o incorrecto?

¿Cómo puede un agregador determinar si un mensaje de texto de medianoche es un restablecimiento de contraseña 2FA que un cliente necesita desesperadamente o un mensaje de marketing no deseado e inoportuno? La industria necesita enfoques más avanzados para el análisis de datos, está claro que no se trata solo de contar.

Complejidad de Controlar SMS A2P

Los reguladores de diferentes países han adoptado diferentes enfoques para controlar los SMS A2P. En Brasil y Francia, por ejemplo, el marketing y el contenido transaccional se separan en qué contenido puede y no puede enviarse y en qué momento. Como facilitador global del envío de mensajes A2P, debe ser un experto en esto en todas las geografías.

Otro desafío es detener la difusión de información errónea a través de SMS. Si la regulación detiene la difusión de información engañosa, la industria móvil sufre lo mismo que las redes sociales: ¿quién determina si la información es precisa o no? Tomando como ejemplo la pandemia de Covid-19, que implica que se compartan consejos médicos en las redes sociales. ¿Quién decide qué información legítima versus qué información errónea? Debe haber límites claros entre lo que podemos proporcionar y las áreas en las que no tenemos experiencia y necesitamos resolver estos problemas con iniciativas industriales más amplias.

¿Qué es la mejor práctica?

Hay varias pautas de mejores prácticas que han sido compartidas por organismos de la industria en todo el mundo, que incluyen CTIA en los Estados Unidos, y MEF. Afortunadamente, hay consistencia en categorías amplias en estos documentos y es genial ver un fuerte enfoque en el consentimiento y el control, lo que permite a los usuarios finales optar por no recibir comunicaciones. Además, tener definiciones consistentes de las ‘malas actividades’ en SMS y una amplia comprensión de la terminología en la industria es muy útil para promover las mejores prácticas.

¿Cómo apoyar a los reguladores y quién hace cumplir la regulación?

La regulación es un documento: estas son efectivamente las reglas de tránsito y la supervisión asegura el cumplimiento. Es importante que no solo establezcamos las reglas, sino que también sean monitoreadas y que se tomen medidas para hacerlas cumplir cuando se infrinjan.

La principal fuente de datos de los reguladores son las quejas de los consumidores, y estas quejas deben ponerse en contexto. Hay una diferencia entre 5 quejas de clientes de una campaña de SMS enviada a 500 usuarios y 5 quejas de una campaña de SMS enviada a 50.000 clientes. ¿Los clientes que se quejaron no sabían que habían dado su consentimiento o encontraron ofensiva la campaña? La industria necesita apoyar mejor a los reguladores para analizar contextualmente las quejas y garantizar que se cumpla la regulación a través de una supervisión efectiva.

Regulación AGITACIÓN/REVOLUCIÓN

Esta regulación tuvo efectos sísmicos en América del Norte, y ahora nos acercamos a un año de implementar STIR/SHAKEN. STIR/SHAKEN implica la certificación e identificación de una persona que llama. El catalizador para la implementación de esta regulación fue el problema de Robocall que enfrentan los consumidores estadounidenses, quienes se vieron inundados con estas llamadas no deseadas. Antes de la implementación de la regulación STIR/SHAKEN, los operadores de América del Norte recibían un acumulado de 5 000 millones de llamadas automáticas automáticas al mes, un número que se ha reducido desde entonces.

Sin embargo, los spammers ahora han comenzado a adoptar la autenticación para superar este mecanismo de seguridad. Los malos actores no dejan lo que están haciendo solo porque hay un simple control. Lo abrazan y lo adoptan, y les da ‘legitimidad’. Los malos actores ahora están usando esto para sus propios fines. Las llamadas automáticas siguen siendo un problema para los operadores y suscriptores de EE. UU.: en mayo de 2022, los suscriptores de EE. UU. recibieron solo menos de 4 mil millones de llamadas automáticas. El índice de llamadas automáticas de YouMail a continuación muestra la cantidad de llamadas automáticas detectadas en los EE. UU. por mes desde que se implementó STIR/SHAKEN, y podemos ver en la línea de tendencia roja que ha habido pocos cambios en su volumen.

Índice de llamadas automáticas de YouMail:

Índice de llamadas automáticas de YouMail

Lamentablemente, como mecanismo de seguridad, parece que STIR/SHAKEN no ha tenido el efecto que la industria esperaba.

¿Cuál es el impacto de una mala supervisión?

En el caso de Robocalls, hubo acción por parte del FCC, Departamento de Justicia y FTC. Impusieron una multa de 3,3 millones de dólares estadounidenses a un estafador de llamadas automáticas. Al final, la sanción fue suspendida, y al perpetrador ni siquiera se le prohibió operar un servicio Telco. Obtenga la historia completa sobre ese caso en particular aquí. ¡Simplemente demuestra que la regulación que sigue con la supervisión y el cumplimiento realmente no tiene sentido!

Regulación: ¿Por qué todo palo y nada de zanahoria?

Finalmente, a menudo me he preguntado por qué la regulación se centra principalmente en el palo y el castigo de los malos comportamientos de envío. he hablado sobre este tema antes de y realmente creo que hay tantas oportunidades para recompensar el buen comportamiento de envío. Al mostrar las ventajas del cumplimiento, podemos limitar los malos envíos y recompensar los buenos envíos. Requerirá cambios basados ​​en datos en todo el entorno de la industria, un cambio que no debe subestimarse, pero que creo que será beneficioso para nosotros como miembros de la industria.

Obtenga más información sobre cómo estamos permitiendo que los propietarios comerciales, de productos y de cumplimiento tomen decisiones basadas en datos para calificar, detectar y aumentar los ingresos de SMS A2P: https://www.adaptivemobile.com/products/a2p-sms-revenues-commercial-traffic-management

Leer más