Seguridad en RCS: Respuestas a tus preguntas

«¿Es seguro el RCS?» «¿Qué tan útil es?» «¿Es bueno el RCS?» «¿Es realmente seguro?»

Si has hecho alguna búsqueda en Google o Reddit sobre la seguridad de la Servicios de Comunicación Enriquecidos (RCS) mensajería últimamente, es probable que te hayas encontrado con estas preguntas. Con La asistencia de Apple para RCS que se está implementando y su interactividad mejorada en comparación con los SMS, el RCS está transformando la forma en que nos comunicamos. Y ahora, con Apple comprometiéndose al cifrado de extremo a extremo para RCS en una próxima actualización de iOS, la conversación en torno a la seguridad está evolucionando.

Nos sentamos para una sesión de preguntas y respuestas con Miriam Liszewski, Gerente de Productos Comerciales de RCS en Sinch, que tiene más de cuatro años de experiencia en Google dando forma a las estrategias de RCS for Business (anteriormente llamado «RBM»). Le preguntamos a Miriam todo sobre la seguridad de la mensajería RCS y le pedimos que abordara algunas de las preguntas más comunes sobre sus beneficios y limitaciones.

Miriam Liszewski: A alto nivel, el RCS ofrece una experiencia de mensajería más rica que los SMS – y esto incluye sus medidas de seguridad más sólidas. Esto incluye medidas como el cifrado en tránsito (es decir, el cifrado de datos a medida que se mueven entre el dispositivo de un usuario y los servicios) y el cifrado de extremo a extremo en algunos casos. Esto garantiza que los mensajes permanezcan seguros mientras viajan por las redes.  

RCS for Business comparte el mismo marco de seguridad que el RCS, pero la solución empresarial también incluye una capa adicional de protección centrada en la verificación de la empresa, lo que ayuda a establecer confianza entre las empresas y los consumidores.

Miriam Liszewski Gerente Comercial de Producto RCS en Sinch

Este proceso de verificación ayuda a prevenir el spam y los ataques de phishing, que son comunes en los SMS tradicionales.

ML: Actualmente, el RCS admite el cifrado de extremo a extremo (E2EE) para la mensajería de persona a persona (P2P) en condiciones específicas. Para que esto funcione, ambos usuarios deben estar en dispositivos compatibles con RCS, como dos dispositivos Android usando Google Messages. Los chats RCS que cuentan con cifrado de extremo a extremo tienen algunas indicaciones visuales.

Pero esta no es una característica estándar en todas las implementaciones de RCS, incluyendo para business messaging. Y eso es porque el RCS Universal Profile, que es el estándar de la industria actual para RCS, históricamente no tenía E2EE como uno de sus requisitos. Es decir, hasta hace poco.

El RCS Universal Profile 3.0, que se lanzó recientemente en marzo de 2025, ahora incluye E2EE como característica principal.

El cifrado de extremo a extremo ahora es supported en dispositivos iOS y Android, lo que garantiza que los mensajes permanezcan privados y protegidos independientemente de la tecnología de mensajería desde la que se comunique un usuario.

Miriam Liszewski Gerente Comercial de Producto RCS en Sinch

Aunque Apple no ha proporcionado un cronograma exacto, ha confirmado que la mensajería RCS con cifrado de extremo a extremo estará disponible en una futura actualización de iOS. Según Tom Van Pelt, el Director Técnico de la GSMA, esto convertiría a RCS en el «primer servicio de mensajería a gran escala en admitir E2EE interoperable entre implementaciones de clientes de diferentes proveedores».

ML: El reciente anuncio de Apple de que agregará E2EE para RCS en una futura actualización de iOS marca un importante avance en seguridad. Esto significa que, una vez que se implemente E2EE, los chats RCS entre iPhone y dispositivos Android tendrán una capa adicional de protección, alineando más la seguridad de RCS con aplicaciones de transmisión libre (OTT) como WhatsApp o iMessage.

_{En este breve video, Miriam desglosa si los mensajes RCS están cifrados en Android, entre Android e iOS, y con RCS for Business.}

También sabemos que los mensajes están cifrados en tránsito cuando son transmitidos por Google.

ML: El flujo de datos y la arquitectura para un mensaje de RCS for Business siguen una ruta de varios pasos. Déjame desglosarlo:

1. Una marca verificada crea y envía un mensaje RCS.
2. El mensaje se cifra entre el agente del remitente y la plataforma RCS for Business, ya sea directamente o a través de un agregador.
3. Cuando el mensaje llega a la plataforma RCS for Business de Google, el mensaje se escanea para verificar el cumplimiento de los términos de servicio (por ejemplo, en busca de malware y spam).
4. Todos los mensajes se cifran en tránsito entre la plataforma RCS for Business y los usuarios finales.

Google indica que los mensajes almacenados en sus propios servidores están cifrados en reposo para que puedan sincronizarse en todos los dispositivos del usuario final (si tiene varios teléfonos diferentes, por ejemplo). Solo se puede acceder a los mensajes almacenados con el ID de Google del usuario final, excepto cuando se marcan como spam o lo exige la ley. Para obtener más detalles, incluido el tiempo que se almacenan los diferentes mensajes en distintos dispositivos, consulta el recurso de Google sobre seguridad de datos.

Para obtener más información sobre cómo funciona RCS y exactamente cómo se envían y entregan los mensajes, consulta nuestro recurso.

ML: Un usuario puede hacer el opt in para recibir mensajes RCS de la misma manera que podría hacer el opt in para recibir otros mensajes comerciales, como SMS. Pueden dar su consentimiento marcando una casilla de consentimiento en un formulario, por ejemplo, pero, por supuesto, esto varía según la región. Por ejemplo, en EE. UU., hay reglas estrictas sobre lo que se considera un opt in y consentimiento explícito, pero otros países podrían no tener los mismos requisitos.  

Lo mismo se aplica para hacer el opt out de recibir mensajes RCS. Si un usuario responde «STOP» o solicita que eliminen su nombre de una lista, una empresa debe dejar de ponerse en contacto con él. Las empresas deben ofrecer asistencia para estas solicitudes de opt out, y Google requiere que las empresas proporcionen confirmación de que se ha obtenido el consentimiento de opt in y de que las opciones de opt out están disponibles.

ML: El RCS tiene mecanismos integrados para combatir el spam, principalmente a través de su proceso de verificación para empresas.

Este proceso de verificación significa que el usuario puede estar seguro de que los mensajes RCS branded que está recibiendo son de una empresa legítima. Debido a que las empresas no pueden enviar mensajes desde un agente branded a menos que primero hayan sido verificadas, esto reduce el spam y genera confianza con el usuario.

Vale la pena señalar que Google ha priorizado la detección de spam en RCS para mantenerlo como un canal de confianza. Durante una mesa redonda en el Congreso Mundial del Móvil (MWC) este año, Josh Pepper, Jefe de Producto de Google para RCS for Business, enfatizó el compromiso de Google con la seguridad. Destacó que Google está utilizando conocimientos de sus equipos de protección contra el spam de Gmail para mejorar la seguridad del RCS y minimizar los mensajes no deseados.

_{Hugh Haley, Director de Socios, y Robert Gerstmann, Evangelista Principal y Cofundador de Sinch, analizan cómo el RCS ayuda a las marcas a proteger a sus clientes contra estafas y fraudes.}

ML: Varía según la región, pero este proceso involucra a varias partes, como operadores, servicios de verificación de terceros y el propio Google.

En cualquier caso, las empresas deben solicitar ser verificadas cuando lanzan su Agente RCS. Deben enviar su identificación y la información de la empresa, y luego se revisa su solicitud para garantizar que cumplen con los criterios para enviar mensajes RCS. Verificar una empresa implica confirmar que es un negocio legítimo y que cumplirá con las normativas de la industria.

El tiempo que lleva procesar la solicitud de verificación de una empresa puede variar. A menudo toma solo unos pocos días pero, en algunos casos, puede llevar más tiempo.

ML: Nuevamente, dependiendo de la región, será entre Google y los operadores de la región. 

Una vez que se aprueba el proceso de verificación, a la empresa se le otorga un estado de «verificado» en su perfil de remitente verificado, lo que se refleja en los mensajes que reciben los usuarios.

ML: Si observas cómo Google aborda esta cuestión, puedes ver que su expectativa es que todas las marcas y agregadores cumplan con las leyes locales y se adhieran a las normativas de seguridad de datos como el RGPD, y proporcionen una política de privacidad que aclare cómo utilizan y/o comparten los datos de los usuarios finales. Google afirma que cumple con el RGPD. 

La responsabilidad de garantizar el Cumplimiento del RGPD recae en la empresa que envía los mensajes, por lo que recomendamos hablar con tu propio equipo para determinar las circunstancias únicas de tu empresa antes de comenzar con cualquier nuevo programa de mensajería.

Miriam Liszewski Gerente Comercial de Producto RCS en Sinch

Cuando se trata de seguridad, el RCS ofrece características y medidas de seguridad mejoradas en comparación con los SMS tradicionales, incluido el cifrado en tránsito y con perfiles de empresas verificadas. Y con el compromiso de Apple con E2EE en una futura versión de iOS, esto está allanando el camino para soluciones de business messaging más seguras y confiables en el futuro.

Para las empresas, adoptar un canal de mensajería seguro como el RCS es un primer paso inteligente hacia la construcción de confianza con tus clientes. ¡Pero la seguridad no se detiene ahí! Es fundamental mantenerse informado, consultar con tu equipo y asegurarte de que tus prácticas de mensajería cumplan con los requisitos legales en todas las regiones en las que operas.  

Asociarse con un proveedor como Sinch puede simplificar este proceso, ofreciendo orientación experta a medida que implementas el RCS. ¿Todo listo para empezar gratis? Ponte en contacto con nuestro equipo hoy mismo.  

O, si necesitas ayuda para justificar el uso de RCS en tu organización, descarga nuestra guía completa para crear un caso de negocio para RCS.

Autor/a: Megan Libby Megan es responsable de Marketing de contenidos sénior en Sinch, donde dirige iniciativas relacionadas con liderazgo de opinión y contenidos sobre SMS/MMS, RCS y otros temas de mensajería omnicanal.