Cada vez veremos más SMS “verificados” contra el fraude. Lo importante es entender cómo funcionan de verdad

Vivimos pendientes del móvil y de lo que aparece en su pantalla, desde un aviso del banco hasta un código para autorizar un pago. Esa dependencia ha convertido el mensaje de texto en un terreno fértil para el engaño, con campañas de smishing que imitan a empresas conocidas y se cuelan en conversaciones que parecen legítimas. El problema no es solo técnico, es de confianza: distinguir a simple vista quién está realmente al otro lado.

Durante años, el SMS ha tratado por igual a un mensaje legítimo y a otro fraudulento, y esa neutralidad es justo lo que explotan los atacantes. Campañas maliciosas detectadas en España muestran cómo se copian nombres y formatos de entidades conocidas para ganarse la confianza del receptor. Estos mensajes están diseñados para no levantar sospechas. Y, a menudo, cuando la duda llega, ya es tarde para reaccionar.

Dile ‘hola’ a los mensajes verificados. Ante la erosión de la confianza en el SMS tradicional, la industria ha optado por reforzar la identidad del emisor en lugar de cargar toda la responsabilidad en el usuario. Los mensajes verificados introducen un cambio relevante: hacen visible si una empresa ha sido reconocida como legítima antes de que el mensaje llegue al móvil. Apoyados en el protocolo RCS, estos mensajes añaden nombre, logotipo e indicadores de verificación con la intención de reducir una de las principales armas del fraude, la confusión sobre el origen real del mensaje.

BBVA. Así se ve en el móvil. En España, BBVA ha sido uno de los primeros grandes bancos en mostrar este cambio de forma visible para el usuario. En Android, los mensajes oficiales del banco aparecen identificados con su nombre y logotipo, acompañados de un indicador que los señala como canal oficial. Al pulsar sobre ese logo, el usuario puede comprobar que los datos asociados, como el teléfono o la web, coinciden con los del banco. Además, estas comunicaciones llegan en un hilo distinto al de los SMS tradicionales, precisamente para evitar que se mezclen con mensajes fraudulentos.

Bankinter también ha dado el salto. Bankinter se ha asociado con Telefónica para distribuir mensajes verificados. La entidad explica que esto permitirá mejorar la seguridad de “comunicaciones críticas”, como los códigos de un solo uso para transferencias o pagos online. Aquí también nos encontraremos con la confirmación de verificación del remitente, el logo oficial e información adicional como el sitio web y un teléfono.

Cómo funciona la verificación. Detrás de ese distintivo visible hay un proceso mucho menos evidente para el usuario. El estándar definido por la GSMA establece varias etapas previas antes de que una empresa pueda enviar un solo mensaje verificado. Primero, la entidad debe registrar su identidad, con un nombre y un logotipo concretos, y someterlos a una certificación externa por un tercero que valida que la entidad puede usar ese nombre y ese logotipo. Esa validación no basta por sí sola: la autoridad que la emite debe estar incluida en la lista de confianza de la operadora del destinatario. Sin esa cadena completa, la verificación simplemente no se muestra.

Quién verifica a quién. Aquí entran en escena las llamadas Autoridades de Verificación como terceros encargados de validar que una empresa es quien dice ser antes de que pueda enviar mensajes verificados. Ese papel puede recaer en empresas privadas especializadas en verificación digital, en operadores móviles o incluso en entidades gubernamentales, dependiendo del despliegue y del país. Después, es la operadora del usuario la que decide si confía en esa autoridad, algo que a veces se refleja de forma visible en el propio mensaje, como ocurre en un ejemplo oficial de Bankinter, donde el sistema indica que la verificación ha sido efectuada por Movistar.

La comprobación definitiva se produce en el momento en que el mensaje llega al teléfono. Según el estándar de la GSMA, la app de mensajería descarga automáticamente el perfil del remitente y ejecuta una serie de verificaciones técnicas antes de mostrar cualquier distintivo. Se revisa que la firma siga vigente, que la autoridad que la emitió sea aceptada por la operadora del usuario y que los datos no hayan sido alterados. Solo si todo encaja aparece el indicador de verificación; si algo falla, el mensaje pierde esa apariencia de legitimidad.

¿Funciona en iOS y Android? Este esquema no es exclusivo de Android. Apple incorporó el soporte para RCS como servicio del operador a partir de iOS 18, lo que permite enviar y recibir mensajes con funciones avanzadas cuando no se utiliza iMessage. En la práctica, el comportamiento es el mismo: si el operador soporta RCS y el estándar está implementado, el sistema puede mostrar nombre, logotipo e indicadores asociados al remitente. Sin ese respaldo del operador, el mensaje vuelve al terreno conocido del SMS o del MMS, sin señales adicionales de verificación.

En Xataka

Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad

Para el usuario, el aprendizaje práctico es sencillo: un mensaje verificado ofrece más contexto y más pistas que un SMS convencional, pero no elimina la necesidad de mantener la cautela. Saber que existe un proceso técnico detrás de ese distintivo ayuda a interpretar mejor lo que llega a nuestros teléfonos móviles y a desconfiar cuando algo no coincide. Sin embargo, en un entorno donde los actores maliciosos nunca duermen, la prudencia sigue siendo imprescindible.

Imágenes | Vitaly Gariev | BBVA | Bankinter | Gemini 3 Pro

En Xataka | Expertos en ciberseguridad de día, ciberdelincuentes de noche: cómo dos profesionales cayeron tras usar ransomware

–
La noticia

Cada vez veremos más SMS “verificados” contra el fraude. Lo importante es entender cómo funcionan de verdad

fue publicada originalmente en

Xataka

por
Javier Marquez

.

​Vivimos pendientes del móvil y de lo que aparece en su pantalla, desde un aviso del banco hasta un código para autorizar un pago. Esa dependencia ha convertido el mensaje de texto en un terreno fértil para el engaño, con campañas de smishing que imitan a empresas conocidas y se cuelan en conversaciones que parecen legítimas. El problema no es solo técnico, es de confianza: distinguir a simple vista quién está realmente al otro lado.
Durante años, el SMS ha tratado por igual a un mensaje legítimo y a otro fraudulento, y esa neutralidad es justo lo que explotan los atacantes. Campañas maliciosas detectadas en España muestran cómo se copian nombres y formatos de entidades conocidas para ganarse la confianza del receptor. Estos mensajes están diseñados para no levantar sospechas. Y, a menudo, cuando la duda llega, ya es tarde para reaccionar.
Dile ‘hola’ a los mensajes verificados. Ante la erosión de la confianza en el SMS tradicional, la industria ha optado por reforzar la identidad del emisor en lugar de cargar toda la responsabilidad en el usuario. Los mensajes verificados introducen un cambio relevante: hacen visible si una empresa ha sido reconocida como legítima antes de que el mensaje llegue al móvil. Apoyados en el protocolo RCS, estos mensajes añaden nombre, logotipo e indicadores de verificación con la intención de reducir una de las principales armas del fraude, la confusión sobre el origen real del mensaje.
BBVA. Así se ve en el móvil. En España, BBVA ha sido uno de los primeros grandes bancos en mostrar este cambio de forma visible para el usuario. En Android, los mensajes oficiales del banco aparecen identificados con su nombre y logotipo, acompañados de un indicador que los señala como canal oficial. Al pulsar sobre ese logo, el usuario puede comprobar que los datos asociados, como el teléfono o la web, coinciden con los del banco. Además, estas comunicaciones llegan en un hilo distinto al de los SMS tradicionales, precisamente para evitar que se mezclen con mensajes fraudulentos.

Bankinter también ha dado el salto. Bankinter se ha asociado con Telefónica para distribuir mensajes verificados. La entidad explica que esto permitirá mejorar la seguridad de “comunicaciones críticas”, como los códigos de un solo uso para transferencias o pagos online. Aquí también nos encontraremos con la confirmación de verificación del remitente, el logo oficial e información adicional como el sitio web y un teléfono.

Cómo funciona la verificación. Detrás de ese distintivo visible hay un proceso mucho menos evidente para el usuario. El estándar definido por la GSMA establece varias etapas previas antes de que una empresa pueda enviar un solo mensaje verificado. Primero, la entidad debe registrar su identidad, con un nombre y un logotipo concretos, y someterlos a una certificación externa por un tercero que valida que la entidad puede usar ese nombre y ese logotipo. Esa validación no basta por sí sola: la autoridad que la emite debe estar incluida en la lista de confianza de la operadora del destinatario. Sin esa cadena completa, la verificación simplemente no se muestra.

Quién verifica a quién. Aquí entran en escena las llamadas Autoridades de Verificación como terceros encargados de validar que una empresa es quien dice ser antes de que pueda enviar mensajes verificados. Ese papel puede recaer en empresas privadas especializadas en verificación digital, en operadores móviles o incluso en entidades gubernamentales, dependiendo del despliegue y del país. Después, es la operadora del usuario la que decide si confía en esa autoridad, algo que a veces se refleja de forma visible en el propio mensaje, como ocurre en un ejemplo oficial de Bankinter, donde el sistema indica que la verificación ha sido efectuada por Movistar.

La comprobación definitiva se produce en el momento en que el mensaje llega al teléfono. Según el estándar de la GSMA, la app de mensajería descarga automáticamente el perfil del remitente y ejecuta una serie de verificaciones técnicas antes de mostrar cualquier distintivo. Se revisa que la firma siga vigente, que la autoridad que la emitió sea aceptada por la operadora del usuario y que los datos no hayan sido alterados. Solo si todo encaja aparece el indicador de verificación; si algo falla, el mensaje pierde esa apariencia de legitimidad.

¿Funciona en iOS y Android? Este esquema no es exclusivo de Android. Apple incorporó el soporte para RCS como servicio del operador a partir de iOS 18, lo que permite enviar y recibir mensajes con funciones avanzadas cuando no se utiliza iMessage. En la práctica, el comportamiento es el mismo: si el operador soporta RCS y el estándar está implementado, el sistema puede mostrar nombre, logotipo e indicadores asociados al remitente. Sin ese respaldo del operador, el mensaje vuelve al terreno conocido del SMS o del MMS, sin señales adicionales de verificación.

En Xataka

Cada cuánto debemos cambiar TODAS nuestras contraseñas según tres expertos en ciberseguridad

Para el usuario, el aprendizaje práctico es sencillo: un mensaje verificado ofrece más contexto y más pistas que un SMS convencional, pero no elimina la necesidad de mantener la cautela. Saber que existe un proceso técnico detrás de ese distintivo ayuda a interpretar mejor lo que llega a nuestros teléfonos móviles y a desconfiar cuando algo no coincide. Sin embargo, en un entorno donde los actores maliciosos nunca duermen, la prudencia sigue siendo imprescindible.

Imágenes | Vitaly Gariev | BBVA | Bankinter | Gemini 3 Pro

En Xataka | Expertos en ciberseguridad de día, ciberdelincuentes de noche: cómo dos profesionales cayeron tras usar ransomware

– La noticia

Cada vez veremos más SMS “verificados” contra el fraude. Lo importante es entender cómo funcionan de verdad

fue publicada originalmente en

Xataka

por
Javier Marquez

.   

​   

​