MSISDN o IMSI: la diferencia entre el número de tu teléfono y tu número de teléfono, y por qué es importante
Los dispositivos móviles son, para muchos de nosotros, el principal medio por el que accedemos a servicios en línea y realizamos y recibimos pagos. Así que no es una gran sorpresa que el móvil -y su principal identificador, el número de teléfono móvil- se hayan convertido en objetivo de la ciberdelincuencia.
A pesar de tener casi cincuenta años, la humilde tarjeta SIM es (como el fax) quizá una de las piezas tecnológicas más seguras jamás inventadas.
Es casi imposible que un malhechor intercepte las comunicaciones cifradas entre dos tarjetas SIM, por lo que se te podría perdonar que pensaras que la tecnología que utiliza tu número de teléfono como "segundo factor" (conocida como 2FA) es altamente segura.
Pero el problema es que el número de móvil que utilizamos para verificar nuestra identidad y el número de serie que identifica una tarjeta SIM no son lo mismo. Y para explicar por qué tenemos que considerar dos números distintos: el MSISDN y el IMSI.
Ambos son fundamentales para identificar y rastrear dispositivos móviles, pero son muy diferentes.
¿Qué es MSISDN?
Abreviatura de Mobile Station International Subscriber Directory Number, MSISDN es el número de teléfono móvil con el que estás familiarizado.
Se compone del código del país donde está registrada la SIM, un código de red que identifica al operador de red y un número de abonado. El número de abonado es único para cada SIM e identifica a un abonado individual.
Pero este número es sólo una etiqueta: un atajo que los humanos pueden recordar y compartir con otros, o un código que, al introducirlo en cualquier terminal, da a una tarjeta SIM la instrucción que necesita para conectarse a otra tarjeta SIM.
¿Qué es la IMSI?
La Identidad Internacional de Abonado Móvil (IMSI) es otro número de identificación único asignado a una tarjeta SIM específica.
A diferencia del MSISDN, el IMSI no está directamente asociado a un número de teléfono. Consta de un código de país móvil (MCC), un código de red móvil (MNC) y un número de identificación de abonado móvil (MSIN).
El MCC y el MNC identifican el país y el operador de red móvil, respectivamente. El MSIN identifica al abonado individual.
¿Cuál es la diferencia entre MSISDN e IMSI y por qué es importante?
Tanto el MSISDN como el IMSI desempeñan un papel vital en la identidad móvil. Se utilizan para diversos fines, como facturación, itinerancia e identificación del abonado. El MSISDN establece la comunicación entre dispositivos, mientras que el IMSI se utiliza para autenticar y autorizar a los abonados a acceder a las redes móviles.
La principal diferencia es que el MSISDN está asociado a un número de teléfono. Es una identidad pública, mientras que IMSI es una identidad privada.
El MSISDN es una puerta de acceso al IMSI, y el vínculo entre ambos es cualquier cosa menos seguro: se rompe fácilmente si se reasigna un número de teléfono a una nueva tarjeta SIM.
Si el IMSI es el candado de la SIM, el MSISDN es la llave que utilizamos para abrirla, y esta llave es casi tan fácil de copiar como un correo electrónico y una contraseña.
¿Cómo se lleva a cabo el fraude del intercambio de tarjetas SIM?
Los fraudes de SIM swap (también conocidos como SIM splitting, SIMjacking y Port-Out scamming) han aumentado considerablemente a medida que más empresas añaden el requisito de que las personas utilicen sus números de móvil como parte de la 2FA al iniciar sesión en un servicio en línea, como su banco.
Se producen cuando un malhechor es capaz de obtener suficiente información personal sobre una persona para convencer a su compañía de telefonía móvil de que le envíe una nueva tarjeta SIM. A continuación, puede insertar la tarjeta en su teléfono y utilizarla para acceder a las cuentas de la víctima.
En cuanto esa tarjeta SIM se activa (se activa en el teléfono móvil del malhechor), tu SIM original deja de funcionar y, antes de que te des cuenta, el malhechor se propone entrar rápidamente en tu banca electrónica, redes sociales, correo electrónico, etc., y cambiar la contraseña interceptando el código PIN enviado por SMS. De este modo, pueden robar fácilmente tu identidad y/o tu dinero.
Un estudio de Javelin Strategy & Research encontró que el fraude de intercambio de SIM representó 6,7% de todo el fraude de toma de cuenta (ATO) en 2019, frente a los 3,8% del año anterior, lo que sitúa el coste medio de desembolso (de todo el fraude ATO) para las víctimas en $317.
Casos de gran repercusión han saltado a los titulares, sobre todo cuando el entonces consejero delegado de Twitter, Jack Dorsey, fue hackeado en 2019y un adolescente canadiense fue acusado de robar $36,5 millones en criptomoneda en 2021.
El problema de los números reciclados
Otra consecuencia de la separación entre MSISDN e IMSI es lo que ocurre cuando se recicla un número de móvil. En cada país hay un número limitado de números de móvil disponibles, por lo que siempre hay presión para liberar más, ya que los operadores de redes móviles pueden agotarlos rápidamente.
Por ejemplo, los ORM suelen enviar tarjetas SIM de prepago para atraer clientes a su red como táctica de marketing, y como cada una de esas SIM tiene un número de teléfono asignado, aunque no esté activada, nadie más puede usar ese número durante un tiempo.
Pero si no se ha utilizado después de un tiempo, el operador de telefonía móvil reciclará el MSISDN y lo devolverá al conjunto de números disponibles.
El plazo varía según la red. En general, pueden pasar entre 90 días y un año antes de que un número no utilizado vuelva a estar disponible en el Reino Unido, pero puede ser cuestión de semanas o incluso días en algunos países. Esto significa que un nuevo usuario puede acceder inadvertidamente a la información de acceso de un usuario anterior al intentar registrarse en cuentas, o incluso recibir mensajes, llamadas y códigos de autenticación de doble factor destinados al usuario anterior.
En el mejor de los casos, podría tratarse simplemente de un extraño confundido que ve accidentalmente su perfil en las redes sociales. En el peor de los casos, podría significar que un individuo malintencionado acceda deliberadamente a sus cuentas en línea, se lleve su dinero y robe su identidad.
¿Es seguro el MSISDN por sí solo?
La respuesta corta es no - cualquier cosa que sólo dependa de tu MSISDN, como un código SMS o un mensaje de voz, no debería ser tu único método de seguridad, ya que puede ser interceptado de varias maneras diferentes.
Sin embargo, los métodos de seguridad alternativos suelen conllevar sus propios problemas. Los códigos enviados por correo electrónico también pueden ser robados mediante phishing o ataques de ingeniería social. La biometría en los dispositivos, como las huellas dactilares, puede parecer más segura, pero no es más que una forma abreviada de confirmar una contraseña almacenada.
Y el software o hardware externo, como las aplicaciones de autenticación y los dongles de seguridad, suponen un esfuerzo para el usuario y un coste potencialmente prohibitivo.
El nivel adecuado de autenticación para una aplicación o servicio ha sido generalmente un quebradero de cabeza para los equipos de seguridad, ya que implica un equilibrio entre el nivel de riesgo y si merece la pena añadir más complejidad a la experiencia del usuario.
Utilizar el IMSI para la seguridad: ahora es posible
Ya no es necesario transigir. La clave para autenticar a un usuario de móvil de forma rápida, segura y fiable es utilizar su número de móvil, pero realizar la verificación utilizando la tarjeta SIM no clonable del teléfono móvil.
Las redes móviles ya lo hacen cada segundo: ahora las empresas pueden aprovechar la misma tecnología. Es la seguridad sólida que ya utilizan los teléfonos móviles, además de la solución más sencilla para el usuario.
Seguridad sin igual: Los números de teléfono móvil están vinculados de forma única a una tarjeta SIM individual. En cualquier momento, esta combinación de número de móvil y tarjeta SIM es totalmente única y criptográficamente segura.
Evita el intercambio de SIM: Autenticar tanto el número de móvil como la tarjeta SIM sirve contra el fraude por cambio de SIM, ya que garantiza que el número no ha sido reasignado recientemente.
Resuelve números reciclados: La identificación de usuarios basada en una combinación de número de móvil + tarjeta SIM elimina el riesgo de que los datos de la cuenta se vean comprometidos por un número reasignado, lo que mantiene la seguridad de los usuarios.
UX sin fisuras: Para un usuario, la seguridad es silenciosa y sin esfuerzo: sólo tiene que teclear su número y se verificará en segundos, sin necesidad de ninguna acción adicional.
Acerca de IDlayr
IDlayr utiliza la seguridad criptográfica de la tarjeta SIM para desbloquear una forma totalmente nueva de hacer negocios en línea. Los productos de la empresa permiten a los desarrolladores rediseñar por completo la experiencia del usuario móvil, lo que ayuda a aumentar los ingresos y reducir las cuentas falsas y el fraude.
La plataforma API de IDlayr es de autoservicio, con SDK móviles y herramientas que soportan un flujo de trabajo de desarrollo moderno desde la integración inicial hasta el despliegue a escala.
IDlayr ya está presente en 23 mercados con más de 2.000 millones de cuentas de móvil.
Para obtener más información sobre IDlayr, visite nuestra sitio webo hable con Ventas para su demostración personalizada.