Las redes de telefonía sufren una plaga de campañas de spam fraudulentas que aprovechan la falta de seguridad del protocolo con el que funciona la identificación de llamadas para engañar a las víctimas, mostrando un número manipulado que pertenece a otro abonado. Así funciona el Caller ID spoofing.
- 1 Fraudes a través de llamadas y SMS
- 2 Usuarios a los que les han robado su número para hacer spoofing
- 3 Cómo funciona la identificación de llamadas y por qué es fácil falsear el número
- 4 ¿Es legal el manipular el identificador de llamadas?
Fraudes a través de llamadas y SMS
La línea telefónica se ha convertido en una vía de entrada para todo tipo de intentos de fraude, que utilizando ingeniería social, tratan de ganarse la confianza del usuario. Lo hemos visto con los SMS que buscan que la víctima instale en su smartphone una app maliciosa, que proporcione sus claves o los datos de su tarjeta bancaria en una web falsa.
El siguiente nivel de desvergüenza es llamar directamente por teléfono para vender inversiones en criptomonedas o supuestas acciones de Amazon. Otros comerciales simulan ser de la compañía telefónica anunciando un aumento del precio o la necesidad de cambiar el router para conseguir que el usuario haga una portabilidad encubierta a la competencia. La plaga se ha extendido con intensidad al sector eléctrico, con una campaña fraudulenta donde llaman en nombre de la compañía eléctrica para aplicar un "descuento del gobierno" y que resulta efectiva, dado que tienen en su poder los datos personales del cliente procedentes de una fuente desconocida, todo con el fin de hacer un cambio ilegal de comercializadora y llevarse la comisión por venta.
Usuarios a los que les han robado su número para hacer spoofing
Una herramienta básica para ganarse la confianza del usuario es el número que éste ve en la pantalla de su terminal. Lejos quedan los días en los que resultaba efectivo ocultar el identificador, dado que una buena parte del público directamente ignora las llamadas de procedencia desconocida. Tampoco inspira ninguna confianza ver un número extranjero. La solución es ir rotando entre varios números fijos o móviles para complicar el bloqueo. Las compañías de marketing que actúan dentro de la legalidad son titulares de estos números, pero cada vez es más frecuente ver casos de manipulación del CLI (Calling Line Identification), el número que se muestra en la pantalla antes de descolgar.
En el foro puedes leer el caso de @CloveeR, un cliente de O2 cuyo número se está usando como remitente de llamadas comerciales y fraudulentas. Según han comprobado los técnicos de la operadora, las llamadas que llegan a otros usuarios identificándose con su número no proceden de la red de la operadora, por lo que el remitente las falsea.
Esta es una conclusión habitual a la que llega la AEPD (Agencia Española de Protección de Datos) al investigar infracciones de la Lista Robinson. El método es efectivo para escapar de las sanciones, puesto que los inspectores se ven obligados a archivar el caso cuando no pueden seguir tirando del hilo al concluir que el CLI fue manipulado. Así explica la agencia en un caso reciente1 cómo funciona el sistema:
A través de las investigaciones realizadas por esta Agencia, se ha podido determinar que las llamadas realizadas […] proceden de números llamantes de prepago y se realizaron en modalidad voz IP, utilizando las numeraciones salientes como máscara de la numeración real, que es desconocida y entró como tráfico internacional por red de otra operadora distinta. Es decir, que las llamadas no salieron de las líneas emisoras, pero sí fueron recibidas por la línea receptora.
Esto es posible porque esta numeración, con muy alta probabilidad, fue objeto de suplantación de CLI o spoofing telefónico (que es una forma de enmascarar la identidad de empresas o personas cambiando el número que aparece en el identificador de llamadas, usan el número para que parezca que es otra empresa o persona quien llama). Con lo cual no se puede determinar quién realizó las llamadas y quien es el responsable de estas.
Cómo funciona la identificación de llamadas y por qué es fácil falsear el número
Como internet, la red de telefonía pública está formada por la interconexión de cientos de redes de operadoras. Históricamente ha sido considerada un entorno cerrado donde solo participaban jugadores de confianza, por lo que no se diseñó pensando en la seguridad.
Para intercambiar llamadas entre sí las operadoras utilizan el sistema de señalización SS72. Tras marcar el número, la central local de origen envía un mensaje IAM (Initial Address Message) que contiene en el campo CPN (Calling Party Number) el Caller ID o número del abonado que origina la llamada. El mensaje es entonces enrutado por los switches SS7 de las centrales de tránsito necesarias para alcanzar la central de destino. Finalmente esta información llega al terminal y éste puede mostrar el número en pantalla mientras suena.
Con la llegada de la telefonía VoIP, la red telefónica pública se abrió a muchos más jugadores y el protocolo SS7 diseñado a finales de los 70 sin ningún tipo de seguridad resultó ser fácilmente manipulable por compañías que no respetan la normativa.
Manipular el CLI es en la actualidad bastante sencillo. Solo es necesario utilizar software libre de centralita virtual como Asterisk y contratar el servicio de un troncal SIP3 que no restrinja el Caller ID, para enviar masivamente a bajo coste llamadas spoofeadas a la red pública.
¿Es legal el manipular el identificador de llamadas?
El Reglamento del Servicio Universal regula la identificación de llamadas en España. El operador que origina la llamada es responsable de introducir en este campo "el número telefónico de la línea desde donde se origina esa comunicación", incluso aunque tenga activadas las llamadas anónimas. Es decir, no existe posibilidad de cambiarlo por otro que no corresponda con el número geográfico o móvil del usuario real sin incurrir en una infracción. Las operadoras de tránsito y de destino tienen prohibido alterar el valor que les llega.
En ocasiones es necesario que el destinatario de la llamada vea un número distinto del original. Por ejemplo, cuando llaman desde emergencias es útil que se muestre el 112 en vez del número geográfico de la centralita privada del centro de emergencias. Pero estos casos requieren una autorización expresa del Ministerio4, que solo los concede para números en los que la llamada de vuelta sea gratuita. En algunos casos también se ha autorizado para las líneas fijas emuladas con una SIM de la red móvil siempre que no se permita el uso fuera del domicilio.
A pesar de que las operadoras domiciliadas en España tienen prohibido modificar el CLI, sus redes están abiertas al tráfico originado fuera de nuestras fronteras donde no aplica nuestra regulación. Tampoco las operadoras tienen ninguna potestad legal para bloquear llamadas y están obligadas a mantener el número que indica el origen, por lo que hasta que se actualice la norma los ciudadanos en España seguirán expuestos a este tipo de ataques.
