La Superintendencia de Telecomunicaciones (SUTEL) de Costa Rica anunció que está impulsando una nueva regulación orientada a prevenir y combatir estafas digitales mediante mensajes de texto fraudulentos, conocidas como smishing, con el objetivo de reforzar la seguridad de las comunicaciones y proteger a los usuarios.
El smishing consiste en el envío de mensajes de texto falsos para obtener información confidencial, como contraseñas, datos bancarios o códigos de verificación. Los ciberdelincuentes suelen hacerse pasar por bancos, instituciones públicas o empresas comerciales y enviar enlaces fraudulentos.
Como parte de la nueva regulación, los operadores de telecomunicaciones que brinden servicios de mensajería SMS deberán implementar capacidades técnicas para identificar y diferenciar el tráfico entre comunicaciones Persona a Persona (P2P) y Aplicación a Persona (A2P). Asimismo, estarán obligados a filtrar mensajes maliciosos para prevenir su circulación en las redes.
La normativa también establece que los operadores deberán garantizar la trazabilidad de extremo a extremo de los mensajes que circulen por sus redes, con el fin de fortalecer la detección y prevención de ataques vinculados con este tipo de fraude digital.
Según SUTEL, las nuevas disposiciones amplían el alcance de las medidas regulatorias vigentes para combatir prácticas fraudulentas en las redes de telecomunicaciones. La implementación será gradual y se completará en un plazo de 18 meses.
Identificar patrones de mensajes maliciosos
Según la SUTEL, entre los mensajes más frecuentes identificados se encuentran alertas sobre supuestos bloqueos de cuentas bancarias, paquetes pendientes de entrega o vencimiento de puntos acumulados, acompañados de enlaces donde se solicita información personal o financiera.
En ese sentido, la regulación contempla además la posibilidad de que los operadores incorporen herramientas de ciberseguridad basadas en inteligencia artificial para identificar patrones asociados con mensajes maliciosos y otras técnicas utilizadas por ciberdelincuentes para evadir sistemas tradicionales de protección.
En materia de privacidad y protección de datos personales, la normativa establece que los operadores únicamente podrán procesar información con fines de seguridad y prevención de prácticas fraudulentas. Además, deberán eliminar los datos una vez cumplida esa finalidad y evitar cualquier uso distinto al autorizado.
Con esta medida, Costa Rica busca posicionarse entre los primeros países de América Latina en contar con un marco regulatorio integral enfocado en la prevención del smishing y la protección de los usuarios frente a fraudes digitales.


