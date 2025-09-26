¿Cuántas veces ha recibido usted el mensaje corto de texto (SMS) supuestamente a nombre de Correos de Costa Rica sobre un paquete que le deben entregar y que requieren unos datos suyos?

Por supuesto, usted no tiene ningún pedido pendiente por alguna compra en línea. Claramente alguien quiere obtener información personal para ingresar y saquear sus cuentas bancarias.

Hace un año la dirección de servicio al cliente de Correos de Costa Rica reportó que recibió 4.500 consultas en varios meses sobre SMS sospechosos que usan el nombre de esta empresa pública.

¿Cómo es posible que sigan llegando esos mensajes a través de las redes, servicios y con números móviles locales?

Los operadores de telefonía móvil y de Internet reiteran que adoptan las medidas de ciberseguridad necesarias dentro del marco legal existente.

“En este contexto, los operadores adoptan de forma voluntaria y proactiva diversas medidas técnicas, preventivas y de colaboración interinstitucional para contribuir a reducir la incidencia de estas prácticas ilícitas”, afirmó Ana Lucía Ramírez, directora ejecutiva de la Cámara de Infocomunicación y Tecnología (Infocom).

No es suficiente. Los SMS y los correos no deseados (spamming) siguen llegando, así como mensajes tipo phishing (suplantan la identidad de organizaciones o personas para engañar a las víctimas y obtener información confidencial) y el smishing (mensajes vía SMS y otras aplicaciones de mensajería para engañar a usuarios).

La Superintendencia de Telecomunicaciones (Sutel) estudia si inicia un proceso contra Liberty para determinar si incurrió en el incumplimiento de las instrucciones sobre el smishing y haber eludido sus obligaciones normativas de protección a la intimidad y los derechos del usuario final. En su descargo, Liberty presentó la información a Sutel de sus esfuerzos contra los SMS con fines fraudulentos.

Los fraudes electrónicos en Costa Rica no paran de aumentar. El Organismo de Investigación Judicial (OIJ) reportó que en 2021 se recibieron 2.000 denuncias, en 2024 otros 5.600 casos y en el primer trimestre de este 2025 hubo 4.125 denuncias, las cuales sumaron ¢2.600 millones.

La situación es más grave. En Costa Rica se estima que los hogares y empresas reciben aproximadamente 124 millones de mensajes no solicitados por mes y hasta 1.502 millones en un año, indicó Christian Chinchilla López, subdirector de infraestructura de Telecable.

El problema es que el país tiene debilidades a nivel de medidas técnicas y de desarrollo de capacidades, según el informe de ciberseguridad del 2024 de la Unión Internacional de Telecomunicaciones.

Los fraudes electrónicos mediante mensajes que suplantan la identidad de personas, empresas e instituciones para engañar a usuarios se incrementaron en los últimos años. Las autoridades esperan que el 2025 concluya con cifras récord en Costa Rica. (AntonioGuillem)

Vacíos legales

En Costa Rica la Ley General de Telecomunicaciones (N° 8642) y la Ley de Fortalecimiento y modernización de las entidades públicas del sector de telecomunicaciones (N° 8660) establecen las obligaciones de operadores y reguladores para la protección de los usuarios, incluyendo la privacidad de las comunicaciones.

Se le suma el reglamento sobre el régimen de protección al usuario final de telecomunicaciones que establece las prácticas o conductas prohibidas, y sus consecuencias, por parte de usuarios y operadores que atenten contra los derechos de los usuarios, indicó Sutel. El problema es que nada de esto es suficiente.

“La regulación sobre ciberseguridad y en particular respecto a la protección de las redes y la intrusión de terceros, es verdaderamente escasa en nuestra regulación de telecomunicaciones”, afirmó Juan Manuel Campos, director general de Ciber Regulación.

Ambas leyes permiten que la Sutel y la Autoridad Reguladora de Servicios Públicos (Aresep), a la que pertenece la Superintendencia, emitan un reglamento o directrices específicas. Como todavía no se tienen, queda en manos de cada operador la interpretación y ejecución de esas responsabilidades según sus propios criterios técnicos y comerciales, sin un estándar común ni una estrategia coordinada a nivel nacional.

“Es, en pocas palabras, un regulador que no regula en un aspecto crítico para la seguridad digital de los usuarios”, Mauricio París, experto en derecho digital y tecnología en Ecija Legal Costa Rica. “En la práctica, el país carece de una política regulatoria unificada para prevenir y mitigar prácticas como el smishing, el spamming o el phishing”.

En todo caso, los operadores sí pueden adoptar medidas técnicas, sin recurrir a la lectura de mensajes individuales y ajustándose al principio de proporcionalidad (ser idóneas, necesarias y no excesivas, garantizando el secreto de las telecomunicaciones). El contenido de los mensajes solo puede revisarse con orden judicial.

Los operadores podrían adoptar modelos dinámicos (actualizados periódicamente) de listas negras (rangos numéricos asociados a actividades ilícitas) o blancas (entidades verificadas y confiables) coordinadas con las autoridades. Así se podría bloquear a los primeros y sus remitentes y dar trazabilidad, como parte de una estrategia nacional y una regulación coordinada con estándares, protocolos y mecanismos de respuesta rápida.

Otras medidas complementarias incluyen sistemas de reputación y bloqueo de remitentes fraudulentos a nivel de red, protección del identificador de remitente y autenticación y firma digital de mensajes, como se implementa en otros países y regiones.

“Hemos normalizado convivir con el spam fraudulento a diario, reiteró París. “La lucha contra estas prácticas exige un enfoque integral con colaboración entre operadores, autoridades y usuarios”.

Ejemplos globales Medidas similares son adoptadas en diferentes geografías: Unión Europea: el Código Europeo de Comunicaciones Electrónicas exige filtrar remitentes fraudulentos mediante reputación y metadatos, sin acceder al contenido de los mensajes. Australia: la Spam Act 2003 permite bloquear SMS fraudulentos mediante inteligencia de red y autenticación reforzada, preservando la privacidad de los usuarios. Singapur: el SMS Registry obliga a que todos los remitentes corporativos se registren, bloqueando automáticamente los no autorizados. Reino Unido: protección del identificador de remitente (SMS Sender ID Protection). Japón: autenticación y firma digital de mensajes con RCS verificado. Fuente: Ecija Legal Costa Rica

Medidas adoptadas

Los operadores sostienen que adoptan medidas cumpliendo con las leyes de telecomunicaciones (N° 8660 y 8642) y de la Ley de protección de la persona frente al tratamiento de sus datos personales (N° 8968). Además, que cumplen con políticas y protocolos propios, que abarcan el consentimiento informado, la capacitación de personal y diversas medidas de seguridad.

“Mantenemos un fuerte compromiso con la seguridad de nuestros clientes y usuarios. Por eso, trabajamos de forma permanente para fortalecer nuestros sistemas que ayuden a prevenir prácticas en materia de ciberseguridad”, respondieron en Claro.

Entre las herramientas que adoptan los operadores se incluyen filtros y murallas de fuego en sus redes, análisis de contenido con inteligencia artificial (IA) y aprendizaje automático, aplicaciones antispam y anti smishing, autenticación de remitentes y sistemas para denuncias.

“El primer nivel de responsabilidad recae sobre el emisor de estos mensajes, quien realiza la práctica indebida”, sostuvo José Pablo Rivera, director de comunicaciones de Liberty. “Por políticas internas, constantemente implementamos medidas de seguridad para proteger a nuestros usuarios. Hemos incrementado los procedimientos para bloquear a los estafadores en el momento en que detectamos un envío irregular de mensajes”.

Las herramientas de ciberseguridad a disposición permiten analizar patrones de envío para detectar envíos masivos inusuales y bloquear remitentes falsificados o no autorizados, elaborar listas negras de direcciones electrónicas (URL), elaborar perfiles reputacionales de esos remitentes para bloquearlos si ya tienen historial y detectar intentos de ingeniería social (fraudes, amenazas).

También se puede detectar la suplantación de remitentes auténticos (bancos o empresas) en mensajería empresarial y recibir reportes de los usuarios de SMS sospechosos.

Los operadores también indican que recomiendan constantemente a los usuarios mecanismos de verificación de dos pasos e instalar aplicaciones para dispositivos que identifican números fraudulentos, bloquean mensajes fraudulentos o alertan a usuarios y detectan URL maliciosas.

En la detección de mensajes spam, phishing o smishing se combinan técnicas automatizadas, reglas heurísticas y herramientas de aprendizaje automático con parámetros tales como palabras claves y URL sospechosas. Incluso identifican faltas ortográficas y gramaticales que son usuales en los mensajes fraudulentos, a veces de forma intencional o por traducciones pobres en casos de fraudes internacionales.

Se obtienen también metadatos de remitentes sospechosos como números desconocidos o suplantación de nombre o dominio, frecuencia y volumen de mensajes e incluso ubicación geográfica del remitente.

“Mantenemos un firme compromiso con la seguridad de nuestros clientes. Constantemente actualizamos nuestros protocolos de atención, prevención y protección al usuario”, dijo Paola Jiménez, jefa de la división comercial de telecomunicaciones del Instituto Costarricense de Electricidad (ICE).

Todo esto se complementa con acciones de colaboración con terceros (empresas de ciberseguridad), entidades reguladoras y el Organismo de Investigación Judicial, así como con un proceso o protocolo de acción cuando se detectan ataques de mensajes fraudulentos. Van de la identificación, la validación, el bloqueo de mensajes de fraude, notificación a usuarios y autoridades, denuncias legales y campañas de educación de usuarios.

Los operadores aseguran que sus servicios empresariales, que incluyen el de mensajería corporativa, se brinda a empresas “reales y responsables” para que envíen SMS de acuerdo con su negocio, servicios, ofertas y promociones a la base de datos que cada empresa posee por aparte.

“Ante la denuncia de actividades irregulares o sospechosas de esta índole, se activan los protocolos de alerta y se informa a nuestro departamento de tecnología de la información para que revise nuestras bases de datos y sistemas internos”, dijo Christian Chinchilla López, subdirector de infraestructura de Telecable.

En letra de ley Lo que establecen las leyes vigentes en telecomunicaciones sobre ciberseguridad: Ley de fortalecimiento y modernización (N° 8660) Articulo 60: Obligaciones fundamentales de la Sutel a) Aplicar el ordenamiento jurídico de las telecomunicaciones, para lo cual actuará en concordancia con las políticas del Sector, lo establecido en el Plan nacional de desarrollo de las telecomunicaciones, la Ley general de telecomunicaciones, las disposiciones establecidas en esta Ley y las demás disposiciones legales y reglamentarias que resulten aplicables. d) Garantizar y proteger los derechos de los usuarios de las telecomunicaciones. i) Establecer y garantizar estándares de calidad de las redes y de los servicios de telecomunicaciones para hacerlos más eficientes y productivos. Artículo 73: Funciones del Consejo de Sutel a) Proteger los derechos de los usuarios de los servicios de telecomunicaciones, asegurando eficiencia, igualdad, continuidad, calidad, mayor y mejor cobertura, mayor y mejor información, más y mejores alternativas en la prestación de los servicios, así como garantizar la privacidad y confidencialidad en las comunicaciones, de acuerdo con la Constitución Política. Ley general (N° 8642) Artículo 42: Privacidad de las comunicaciones y protección de datos personales Los operadores de redes públicas y proveedores de servicios de telecomunicaciones disponibles al público, deberán garantizar el secreto de las comunicaciones, el derecho a la intimidad y la protección de los datos de carácter personal de los abonados y usuarios finales, mediante la implementación de los sistemas y las medidas técnicas y administrativas necesarias. Estas medidas de protección serán fijadas reglamentariamente por el Poder Ejecutivo. Artículo 44: Comunicaciones no solicitadas Se prohíbe la utilización de sistemas de llamada automática por voz, fax, correo electrónico o cualquier otro dispositivo con fines de venta directa, salvo la de los abonados que hayan dado su consentimiento previamente… En cualquier momento, el cliente podrá pedirle al remitente que suspenda los envíos de información… Se prohíbe, en cualquier caso, la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente, o que no contengan una dirección válida a la que el destinatario pueda enviar una petición de que se ponga fin a tales comunicaciones. Fuente: Leyes N° 8642 y 8660

Se quedan cortos

Las medidas adoptadas no detienen a los ciberdelincuentes.

En primer lugar, porque estos grupos locales o globales, aprovechan que las redes de telecomunicaciones son medios de transporte inocuos. Ahí pasa una gran cantidad de información que abarca datos tanto a nivel productivo y lúdico como información no deseada que busca confundir y estafar.

Además, los operadores no tienen permitido bloquear cualquier número telefónico reportado por usuarios afectados por el envío de mensajes no deseados.

Cuando la persona recibe una comunicación de una empresa —incluyendo el mismo operador del cual es cliente— debe solicitar a esa empresa remitente que no le envíe más mensajes publicitarios. En caso contrario, recurre ante la Agencia de Protección de Datos de los Habitantes (Prodhab) para exigir el cumplimiento de la Ley N° 8968.

Si el operador determina que el mensaje se recibe de números que cumplen algunos de los parámetros de mensajes fraudulentos, se procede al bloqueo para que no pueda enviar ningún SMS o realizar llamadas de engaño.

En segundo lugar, porque los operadores deben garantizar la privacidad y el secreto de las comunicaciones, por lo que no pueden analizar el contenido de los mensajes.

Y, en tercer lugar, porque muchas prácticas delictivas aprovechan las plataformas como WhatsApp o iMessage, que emplean tecnologías de cifrado de mensajes, donde las operadoras no tienen acceso o control.

Habría una cuarta razón. Las redes de los operadores son un medio o canal para la transmisión de mensajes, “pero no el administrador de las plataformas de envío masivo”.

“A nivel mundial, existen empresas que ofrecen estos servicios y hasta comercializan bases de datos de contactos, lo que hace que la gestión y uso de dicha información dependa de cada cliente o usuario”, explicó Jiménez, del ICE.

Las firmas prometen incrementar sus acciones. “Reafirmamos que con las acciones realizadas y las que tenemos en el desarrollo, lograremos incrementar el nivel de seguridad para los usuarios ante estas prácticas de terceros”, recalcó Rivera, de Liberty.