Uno de nuestros colegas se despertó recientemente con cientos de mensajes OTP de plataformas de entrega de alimentos como Zomato, Zepto y Licious, todo en un lapso de unas pocas horas. Acababa de convertirse en víctima de lo que se denomina bombardeo de SMS, en el que el número de un usuario es bombardeado con una gran cantidad de mensajes o incluso llamadas OTP en un período de tiempo muy corto con la clara intención de acosar a un usuario e interrumpir el funcionamiento normal de un dispositivo.
En las últimas 24 horas he recibido cientos de llamadas y mensajes de OTP. Sobre todo de Licious, @ZeptoNow @zomato @ByjusSoporte etc. ¿Alguna idea de lo que está pasando?
—Nandagopal Rajan (@nandu79) 21 de julio de 2022
Mehul Bhandari, de 32 años, un desarrollador de software con sede en Vapi, le dice a indianexpress.com que fue bombardeado con cientos de mensajes OTP de Flipkart, Apollo, Snapdeal y ok credit. “Durante varios días, recibía cientos de SMS OTP y me irritaba”. Incluso intentó presentar una denuncia ante la policía cibernética, pero eso no detuvo los mensajes de spam. «Al final, investigué y descargué la aplicación, y la puse en la lista negra por número».
Estas bromas se ejecutan con software gratuito y sus archivos apk están disponibles para descargar en línea. Algunas de las aplicaciones populares de bombardeo de SMS son SMSBomber, BombItUp y TTXBlast, entre otras.
Según Sourajeet Majumder, un experto cibernético independiente, en la mayoría de los casos, estos sitios web usan puntos API vulnerables de otras empresas que en realidad se usan para enviar OTP y mensajes de texto a usuarios legítimos para iniciar sesión, restablecer contraseña, etc. “Sin embargo, los atacantes explotan estas API. haciendo solicitudes GET/POST con sus scripts, lo que a su vez automatiza el envío de mensajes y les ayuda a realizar ataques de bombardeo de SMS”.
Es muy fácil de usar las herramientas de SMS bomber. Los usuarios solo tienen que ingresar el número y el valor (cuántos mensajes desea enviar), presionar el botón Enviar y esperar hasta la alerta de éxito.
Los expertos legales creen que el uso de bombarderos SMS califica como una forma de acoso. “Dichas aplicaciones/sitios web no tienen una política de privacidad o términos de servicio adecuados. Aunque se llama a sí mismo una herramienta para divertirse, tiene el potencial de crear un daño inmenso. Los mensajes incesantes pueden ser una molestia para la persona objetivo. Esto se puede utilizar fácilmente para acosar a las personas. Sin embargo, los términos de servicio establecen que solo se puede usar con amigos y familiares y con consentimiento, pero no hay forma de monitorear esto”, dijo Prasanth Sugathan, director legal de SFLC.in.
Majumder informa que una serie de sitios web que brindan funciones de bombardeo de SMS también brindan opciones para proteger su número. “Una vez que se guarda un número en la lista de protección, no se puede usar ese sitio web en particular para bombardearte por SMS”.
Mientras tanto, los usuarios pueden probar Anti-SMS Bombers, que son herramientas que bloquean automáticamente los mensajes entrantes de un remitente en particular si una OTP o el mismo SMS se produce más de tres veces. “Los usuarios también pueden intentar comunicarse con los equipos de seguridad de las empresas de las que reciben los mensajes. Esto podría ayudar a la empresa a parchear la API vulnerable que, a su vez, imposibilitará que los atacantes la utilicen para el bombardeo de SMS”, añadió.
