El spam telefónico con ofertas comerciales es muy molesto para los usuarios, pero lo más preocupante es su éxito demostrado como herramienta de fraude (vishing), pues los estafadores tienen más capacidad de persuasión que con el correo electrónico para intentar robar el dinero de sus víctimas o acceder a información personal valiosa y sensible (cuentas bancarias, tarjeta de crédito, claves, etc.).
Aunque también es utilizado por algunas agencias de telemarketing, en la práctica totalidad de los casos de fraude se está falsificando deliberadamente la información que aparece en la pantalla del identificador de llamadas del terminal móvil o fijo del receptor de la llamada.
Además, antes de realizar la llamada, los delincuentes suelen extraer información previa del usuario a través de las páginas blancas, perfiles públicos de Internet (Facebook, Instagram, Linkedin, etc.), datos comercializados en la Dark Web, etc.
De este modo, se busca suplantar la identidad por el de otra persona conocida, un organismo gubernamental o una empresa de la que somos cliente, con el fin de incrementar la probabilidad de que la llamada sea respondida y generar más confianza.
Las autoridades públicas españolas llevan desde hace años intentando proteger a los usuarios, a través de diversas Leyes, destacando la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, elaborada de acuerdo al RGPD (Reglamento General de Protección de Datos) de la Unión Europea.
Aunque estas leyes desincentivan y castigan las malas prácticas de telemarketing, son menos eficaces para impedir que se cometan los delitos de fraude, sobre todo cuando tienen su origen en otros países.
Del mismo modo que los clientes de correo electrónico y los antivirus han ayudado mucho a mitigar el problema del spam y la suplantación de identidad en este servicio, se debe impulsar una solución técnica efectiva para parar el aún más molesto y dañino spam telefónico, así como para identificar a los culpables.
Los iPhone y los teléfonos con sistema operativo Android tienen opciones para bloquear números. Sin embargo, se pueden estar bloqueando de forma indefinida teléfonos que han sido suplantados temporalmente. También hay aplicaciones en Google Play y App Store (Hiya, Nomorobo, Robokill, etc.) que alertan al usuario o bloquean automáticamente la llamada. Estas aplicaciones también tienen inconvenientes, como la posibilidad de bloquear usuarios que han sido suplantados temporalmente, la falta de compatibilidad en todos los dispositivos o la necesidad de pagar por su utilización.
Ponerle freno
La FCC (Federal Communications Commission) de Estados Unidos, alentó hace unos años a los fabricantes y operadores de telecomunicaciones al desarrollo e implantación de una solución capaz de parar las llamadas automáticas (robocalls) y la suplantación de la identidad telefónica (call ID spoofing).
La respuesta de la industria ha sido el desarrollo de los estándares conocidos por STIR (Secure Telephony Identity Revisited) del IETF y SHAKEN (Secure Handling of Asserted information using toKENs) de ATIS, que han comenzado a ser desplegados en el equipamiento de red de las redes telefónicas de las operadoras de Estados Unidos y Canadá.
El objetivo de STIR/SHAKEN es la identificación y verificación de qué llamadas tienen un identificador de usuario legítimo. De esta forma, se da la información necesaria al usuario para que pueda ignorar esas llamadas, evitando bloquear de forma continuada a otros usuarios que están sufriendo la suplantación de identidad.
Si el usuario quiere que por defecto se rechacen estas llamadas, podría informar al operador para que las bloqueara automáticamente. Las agencias de seguridad, pueden ser informadas con más facilidad de estos hechos ilegales y fraudulentos, consiguiendo identificar mejor el origen e incluso obtener pruebas del delito, como la grabación de la llamada, que les permitan perseguirlos legalmente.
STIR/SHAKEN utiliza certificados digitales, basados en técnicas de criptografía de clave asimétrica, para asegurar que el número telefónico desde el que se origina la llamada es válido y que su identificador no es cambiado ni siquiera en el caso de que la llamada discurra por la red de varias operadoras. Es decir, aporta confianza acerca de quién está al otro lado del teléfono.
Cada operadora obtiene su certificado digital de una autoridad certificadora que es confiable por parte del resto de operadoras. Con la clave privada la operadora que da servicio al usuario origen de la llamada firma este identificador recibido y añade el resultado del grado de confiabilidad de la identidad del usuario. La operadora del usuario destinatario utiliza la clave pública asociada para verificar que la identidad no ha cambiado en su tránsito y utiliza también el grado de confiabilidad para informar al usuario.
La Unión Europea debería seguir los pasos de la FCC de Estados Unidos y la CRTC de Canadá, e impulsar la coordinación de los distintos reguladores nacionales europeos (CNMC en España, ANACOM en Portugal, ARCEP en Francia, BNetzA en Alemania, etc.), para buscar una rápida solución al creciente problema de la suplantación de identidad y mejorar la experiencia de usuario. Sin el impulso de los reguladores, no es posible introducir STIR/SHAKEN, ya que requiere de inversiones y de la colaboración por parte de todas las operadoras.
