Operadores deberán filtrar SMS maliciosos y garantizar trazabilidad en un plazo gradual de 18 meses.
La Superintendencia de Telecomunicaciones (Sutel) aprobó una nueva regulación para combatir el envío de mensajes de texto malintencionados, una práctica conocida como smishing, mediante la cual delincuentes intentan obtener contraseñas, datos bancarios, códigos de verificación u otra información sensible de los usuarios.
La medida obligará a los operadores que brindan servicios de mensajería SMS a incorporar capacidades técnicas para identificar, diferenciar y filtrar comunicaciones sospechosas antes de que lleguen a los usuarios. La Sutel informó que las nuevas obligaciones se aplicarán de manera gradual y culminarán en un plazo de 18 meses.
El smishing opera mediante mensajes falsos que simulan provenir de bancos, instituciones públicas, comercios o servicios de entrega. En esos mensajes, los atacantes suelen incluir enlaces que dirigen a sitios fraudulentos donde solicitan información personal o financiera. Entre los ejemplos citados por la Sutel figuran avisos sobre cuentas bancarias bloqueadas, paquetes pendientes de entrega o puntos bancarios próximos a vencer.
Con la nueva regulación, los operadores deberán distinguir entre mensajes Persona a Persona (P2P) y Aplicación a Persona (A2P), una clasificación que permitirá identificar mejor el origen y el tipo de tráfico que circula por las redes. Además, tendrán que garantizar la trazabilidad de extremo a extremo de los mensajes para fortalecer la detección y prevención de fraudes.
El presidente a.i. del Consejo Directivo de la Sutel, Federico Chacón Loaiza, afirmó:
Las estafas digitales evolucionan constantemente y exigen respuestas regulatorias igualmente innovadoras. Con esta regulación damos un paso significativo para proteger a los usuarios antes de que sean víctimas de fraude, fortaleciendo la seguridad de las redes de telecomunicaciones mediante mecanismos preventivos, trazabilidad del tráfico y el uso de tecnologías avanzadas de detección”.
La Sutel indicó que los operadores también podrán utilizar herramientas avanzadas de ciberseguridad basadas en inteligencia artificial para detectar patrones asociados con mensajes maliciosos, enlaces fraudulentos y otras técnicas que emplean los ciberdelincuentes para evadir los sistemas tradicionales de protección.
La regulación incorpora condiciones en materia de privacidad y protección de datos personales. Según la Sutel, los operadores solo podrán procesar información con fines de seguridad y prevención de estas prácticas, y deberán eliminar los datos una vez cumplida esa finalidad, sin utilizarlos para otros propósitos.
La entidad afirmó que, con esta decisión, Costa Rica avanza entre los primeros países de América Latina con un marco regulatorio integral para combatir el smishing, mediante un enfoque preventivo que combina innovación tecnológica, ciberseguridad y protección de los derechos de los usuarios.