La suplantación de SMS es una tecnología que utiliza el servicio de mensajes cortos (SMS), disponible en la mayoría de los teléfonos móviles y asistentes digitales personales , para establecer de quién parece provenir el mensaje reemplazando el número de móvil de origen (ID del remitente) con texto alfanumérico. La suplantación de identidad tiene tanto usos legítimos (establecer el nombre de la empresa desde la que se envía el mensaje, configurar su propio número de móvil o el nombre de un producto) como usos ilegítimos (como hacerse pasar por otra persona, empresa o producto). Esto también puede enviar mensajes "misteriosos" que parecen provenir de números o contactos legítimos.
La suplantación de SMS ocurre cuando un remitente manipula la información de la dirección. A menudo se hace para hacerse pasar por un usuario que ha deambulado por una red extranjera y está enviando mensajes a la red local. Con frecuencia, estos mensajes se dirigen a destinos fuera de la red doméstica; el SMSC doméstico esencialmente es "secuestrado" para enviar mensajes a otras redes. En casos avanzados, pueden incluso secuestrar contactos existentes en un teléfono. En otras palabras, puede parecer que el mensaje del secuestrador proviene de cualquier número.
El impacto de esta actividad es triple:
Los casos de uso legítimos para la suplantación de SMS incluyen:
Un ataque de suplantación de SMS suele detectarse primero por un aumento en el número de errores de SMS encontrados durante la ejecución de una factura. Estos errores son causados por identidades de suscriptores falsificadas. Los operadores pueden responder bloqueando diferentes direcciones de origen en sus Gateway- MSC , pero los estafadores pueden cambiar las direcciones fácilmente para eludir estas medidas. Si los estafadores pasan a utilizar direcciones de origen en un socio de interconexión importante, puede resultar inviable bloquear estas direcciones, debido al impacto potencial en los servicios de interconexión normales.
En 2007, el regulador de tarifas premium del Reino Unido, PhonepayPlus (anteriormente ICSTIS) concluyó una consulta pública sobre SMS anónimos, en la que afirmaron que no eran reacios al funcionamiento de dichos servicios. Sin embargo, en 2008 PhonePayPlus introdujo una nueva regulación que cubre los SMS anónimos, exigiendo a los proveedores de servicios de SMS anónimos enviar un mensaje de seguimiento al destinatario indicando que se les ha enviado un SMS falsificado y operar una línea de ayuda para quejas.
Si un usuario puede demostrar que sus sesiones de SMS han sido falsificadas, debe comunicarse tanto con las autoridades como con su proveedor de telefonía celular , quienes deberían poder rastrear desde dónde se enviaron realmente los mensajes SMS. Un usuario también puede modificar la configuración del teléfono para que solo se permitan mensajes de números autorizados. Esto no siempre es efectivo ya que los piratas informáticos también podrían hacerse pasar por los amigos del usuario.