El Ministerio de Transformación Digital actúa para poner coto a la plaga de estafas que utilizan las redes telefónicas para llegar hasta sus víctimas, suplantando la identidad de empresas y organismos mediante la falsificación del identificador de llamada.
La red telefónica es insegura
La red telefónica se ha convertido en un medio de comunicación inseguro que ya no cuenta con la confianza de la ciudadanía. Es lo que revela una consulta pública convocada por el Ministerio para regular la identificación de llamada, donde propone medidas urgentes para frenar el "aumento exponencial" de estafas que suplantan la identidad de todo tipo de organismos públicos y empresas privadas a través de llamadas telefónicas y mensajes de texto con el número remitente falsificado.
Para mostrar un número falso en el teléfono de la víctima, los estafadores manipulan el CLI (Calling Line Identification), práctica conocida como Caller ID spoofing, de forma que coincida con el número oficial de la entidad a la que suplantan. En muchos casos también se utilizan números geográficos o de móvil generados aleatoriamente que coinciden con los de algún usuario, de forma que éste se encuentra con que alguien está utilizando su número para llamar a otros.
La falsificación del número es posible debido a que el protocolo SS7 con el que funciona la telefonía, con varias décadas de historia, no utiliza en España mecanismos como SHAKEN (Signature-based Handling of Asserted information using toKENs) para certificar el origen de la llamada, de forma que resulta relativamente sencillo incluir una numeración falsa al emitirla a través de ciertos troncales SIP permisivos con esta práctica.
Estafas detectadas y pérdida de confianza de la ciudadanía
El Ministerio de Transformación Digital ha identificado los casos más comunes que se producen en las redes españolas:
- Llamada en nombre de un banco avisando al cliente de que hay movimientos sospechosos en su cuenta, recomendando transferirlos a una cuenta "segura".
- Llamada o SMS en nombre de la administración o un servicio público, para pedir a la víctima el pago de una multa o impuesto, que acceda con sus claves a una notificación o llame a un número para concertar cita.
- Llamada de una empresa tecnológica para pedir acceso remoto a su ordenador para solucionar una intrusión de seguridad detectada.
- Llamada de una eléctrica o telefónica para avisar de un cambio de condiciones o subida de precio, para a continuación llamar ofreciendo los servicios de un competidor, práctica conocida como el timo de la doble llamada.
Todas estas estafas tienen patrones comunes, como que tratan de dar apariencia de legitimidad utilizando el número oficial de la organización suplantada, que se usan datos personales de las víctimas obtenidos de brechas de seguridad y que se transmite a la víctima la necesidad de actuar con urgencia para que no compruebe la información.
Un efecto de la proliferación de estafas que usan medios electrónicos como las llamadas y los mensajes es que la ciudadanía está perdiendo la confianza en estas formas de comunicación:
Estas estafas […] hacen mella en la confianza de los consumidores que, a raíz de la generalización de estas prácticas, desconfían de contestar llamadas y leer mensajes de texto, perjudicando a aquellas empresas y organismos que hacen uso de llamadas y mensajes de texto, legítimamente.
Medidas que estudia el Ministerio
El texto de la consulta resalta que a la hora de investigar las estafas, "la trazabilidad se dificulta por la participación de estafadores que están localizados fuera del territorio nacional". Para evitarlo propone prohibir que se permita la entrada en la red telefónica pública española de llamadas originadas desde el extranjero que utilizan como identificador un números español. Esta es una práctica común en los call centers contratados por empresas españolas que están localizados en Sudamérica o en Marruecos y que se verían afectados al dejar de tener la posibilidad de hacer sus campañas a través de llamadas VoIP con números nacionales.
Otra opción sobre la mesa es la creación un nuevo rango de numeración específico para las "llamadas de naturaleza comercial prospectiva, de forma que sea fácil identificarlas y bloquearlas, prohibiendo el uso de la numeración geográfica o móvil para captar clientes.
También se plantea la creación de listas DNO (Do Not Originate), donde los operadores puedan añadir los números que tienen asignados a sus clientes, con el fin de que un tercero no pueda usarlos para suplantar al titular. Una lista similar podría mantener los números no asignados, de forma que puedan rechazarse llamadas que los utilizan como origen.
La consulta pública1 recabará la posición de todos los afectados, incluyendo la de las operadoras, hasta el 8 de marzo, para desarrollar a partir de las conclusiones una normativa que devuelva la credibilidad a la red telefónica pública.