BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

El Ministerio quiere blindar la red telefónica de llamadas y SMS fraudulentos con número de origen manipulado

Joshua Llorach
CLI Caller ID spoofing

El Ministerio de Transformación Digital actúa para poner coto a la plaga de estafas que utilizan las redes telefónicas para llegar hasta sus víctimas, suplantando la identidad de empresas y organismos mediante la falsificación del identificador de llamada.

La red telefónica es insegura

La red telefónica se ha convertido en un medio de comunicación inseguro que ya no cuenta con la confianza de la ciudadanía. Es lo que revela una consulta pública convocada por el Ministerio para regular la identificación de llamada, donde propone medidas urgentes para frenar el "aumento exponencial" de estafas que suplantan la identidad de todo tipo de organismos públicos y empresas privadas a través de llamadas telefónicas y mensajes de texto con el número remitente falsificado.

Para mostrar un número falso en el teléfono de la víctima, los estafadores manipulan el CLI (Calling Line Identification), práctica conocida como Caller ID spoofing, de forma que coincida con el número oficial de la entidad a la que suplantan. En muchos casos también se utilizan números geográficos o de móvil generados aleatoriamente que coinciden con los de algún usuario, de forma que éste se encuentra con que alguien está utilizando su número para llamar a otros.

Caller ID CLI spoofing
Manipulación del CLI con una centralita virtual y un troncal SIP

La falsificación del número es posible debido a que el protocolo SS7 con el que funciona la telefonía, con varias décadas de historia, no utiliza en España mecanismos como SHAKEN (Signature-based Handling of Asserted information using toKENs) para certificar el origen de la llamada, de forma que resulta relativamente sencillo incluir una numeración falsa al emitirla a través de ciertos troncales SIP permisivos con esta práctica.

Estafas detectadas y pérdida de confianza de la ciudadanía

El Ministerio de Transformación Digital ha identificado los casos más comunes que se producen en las redes españolas:

  • Llamada en nombre de un banco avisando al cliente de que hay movimientos sospechosos en su cuenta, recomendando transferirlos a una cuenta "segura".
  • Llamada o SMS en nombre de la administración o un servicio público, para pedir a la víctima el pago de una multa o impuesto, que acceda con sus claves a una notificación o llame a un número para concertar cita.
  • Llamada de una empresa tecnológica para pedir acceso remoto a su ordenador para solucionar una intrusión de seguridad detectada.
  • Llamada de una eléctrica o telefónica para avisar de un cambio de condiciones o subida de precio, para a continuación llamar ofreciendo los servicios de un competidor, práctica conocida como el timo de la doble llamada.

Todas estas estafas tienen patrones comunes, como que tratan de dar apariencia de legitimidad utilizando el número oficial de la organización suplantada, que se usan datos personales de las víctimas obtenidos de brechas de seguridad y que se transmite a la víctima la necesidad de actuar con urgencia para que no compruebe la información.

Un efecto de la proliferación de estafas que usan medios electrónicos como las llamadas y los mensajes es que la ciudadanía está perdiendo la confianza en estas formas de comunicación:

Estas estafas […] hacen mella en la confianza de los consumidores que, a raíz de la generalización de estas prácticas, desconfían de contestar llamadas y leer mensajes de texto, perjudicando a aquellas empresas y organismos que hacen uso de llamadas y mensajes de texto, legítimamente.

Medidas que estudia el Ministerio

El texto de la consulta resalta que a la hora de investigar las estafas, "la trazabilidad se dificulta por la participación de estafadores que están localizados fuera del territorio nacional". Para evitarlo propone prohibir que se permita la entrada en la red telefónica pública española de llamadas originadas desde el extranjero que utilizan como identificador un números español. Esta es una práctica común en los call centers contratados por empresas españolas que están localizados en Sudamérica o en Marruecos y que se verían afectados al dejar de tener la posibilidad de hacer sus campañas a través de llamadas VoIP con números nacionales.

Otra opción sobre la mesa es la creación un nuevo rango de numeración específico para las "llamadas de naturaleza comercial prospectiva, de forma que sea fácil identificarlas y bloquearlas, prohibiendo el uso de la numeración geográfica o móvil para captar clientes.

También se plantea la creación de listas DNO (Do Not Originate), donde los operadores puedan añadir los números que tienen asignados a sus clientes, con el fin de que un tercero no pueda usarlos para suplantar al titular. Una lista similar podría mantener los números no asignados, de forma que puedan rechazarse llamadas que los utilizan como origen.

La consulta pública1 recabará la posición de todos los afectados, incluyendo la de las operadoras, hasta el 8 de marzo, para desarrollar a partir de las conclusiones una normativa que devuelva la credibilidad a la red telefónica pública.

  1. portal.mineco.gob.es/RecursosArticulo/mi…_estafas.pdf

💬 Comentarios

1
kaleth
6

Toda solución que no pase por un cambio de protocolo que impida directamente el spoofing se la pasarán por el forro.

Sysman
9

Voto por el prefijo dedicado a llamadas publicitarias.

Sólo podrían emplearlo empresas legales, debidamente registradas y autorizadas y sujetas a las normas, y tendría medidas anti spoofing.

Los ciudadanos seríamos adiestrados con campañas informativas a rechazar TODAS las ofertas procedentes de cualquier llamada que no venga de ese prefijo. Si colectivamente nadie aceptamos ofertas de otros prefijos, dejarían de ser usados.

Y los que pasamos de la publicidad directamente bloqueamos ese prefijo y se acabó para siempre el tostón.

Apuesto a que no lo implementarán. No quieren que nos libremos fácilmente de la publicidad.

🗨️ 4
Alexxa
3

Nada de llamadas publicitarias. Prohibirlas todas. ¿No estaban prohibidas? Estoy hasta los xxx de las llamadas para venderme luz, gas, internet. 3 o 4 llamadas cada semana recibo.

🗨️ 3
Jav9i
1

Darías el consentimiento vete tú a saber dónde. Esto puede ser por ejemplo al darte de alta en cualquier sitio que pide el número móvil.

🗨️ 1
vukits
6

Darías el consentimiento vete tú a saber dónde

no, macho, eso era hace 10 años. Ahora directamente hay en el mercado negro BBDD de clientes (Nombre, dni, nro de telefono,etc) exfiltradas de empresas que han sufrido ataque informático.

Sysman

Yo estoy de acuerdo contigo pero ya sabes la excusa: "usted dio su autorización…". Pues eso, lo lógico es que incluso las "autorizadas" fueran detectables, de origen contrastable y bloqueables.

Pero le importamos un bledo a los oligarcas que nos gobiernan y los lobbies que tienen detrás.

Jezu7
2

Que hagan lo que sea, pero ya, a estas alturas, con la tecnología que hay y que nos timen con SMS y llamadas de suplantación de identidad, es lamentable que no estén actualizados para que no pasen estos timos, cuánta pobre gente han picado y algunos hemos estado cerca de caer, después de algún SMS calcado al del banco, por ejemplo

PezDeRedes
1

Otra opción sobre la mesa es la creación un nuevo rango de numeración específico para las "llamadas de naturaleza comercial prospectiva, de forma que sea fácil identificarlas y bloquearlas, prohibiendo el uso de la numeración geográfica o móvil para captar clientes.

Ojalá hagan esto, y no solo por las estafas.

Toyandboy
1

Me parece muy buena medida. Que lo hagan rápido y si detienen a los estafadores, mejor.

ntmjias
4

Ahora se están dedidcando a llamar de números móvil que comienzan por 632 diciendo que son de Iberdrola, día tras día le dices que no y que no te llamen y que incluso estás en las listas robinson y es ilegal el spam telefónico y les de igual. Todos sudamericanos.

rbetancor
8

Se están complicando la vida innecesariamente … esto se resuelve técnicamente con la punta del cipote, de hecho las bases de datos necesarias YA EXISTEN y se actualizan todos los días varias veces, cada vez que se completa una portabilidad.

Igual que se "consulta" a la red el prefijo del operador de un número destino, para saber por donde enrutar la llamada, se puede consultar el prefijo de operador de un número origen … si el prefijo coincide con el código de operador del enlace entrante, se acepta, sino se rechaza.

Problema resuelto … y teniendo en cuenta, que hoy en día, el 100% de la red es VoIP … se resuelve con menos de 20 líneas de código en un Kamailio.

🗨️ 12
Jav9i

No solucionaría el problema al 100%.

La solución es una que haga imposible el spoofing, no marear la perdiz con parches.

🗨️ 7
rbetancor
1

Lo soluciona al 100%, lo he aplicado en sistemas VoIP de otros países, que hacen las cosas con la cabeza y no con el culo.

🗨️ 6
Jav9i

Pero esto solo haría que el spoofing fuera desde el mismo prefijo asignado al mismo operador o lo evita completamente?

🗨️ 5
rbetancor
2

Lo evita completamente, siempre y cuando las "autoridades competentes" sean eso … "competentes" y no una manada de burrocratas chupatintas.

En la base de datos de LNP ya se puede consultar quien es el operador de un número … pues se consulta no solo para salientes, sino para entrantes y sino coincide con el prefijo de enrutado del enlace, se rechaza.

Repito que la solución YA EXISTE y se aplica en otros países. Aquí seguramente, como resultado de la consulta pública, se hará lo que mamafonica diga, que seguramente será implantar algún sistema de restricción de enrutado simplón, en plan, "por los enlaces internacionales, no se admite DID's nacionales" … y encima se colgarán la medalla de genios.

🗨️ 4
Jav9i
🗨️ 1
rbetancor
1
Pemobil
1
🗨️ 1
rbetancor
1
59fnzdf9
1

Te olvidas de los desvíos de llamada manteniendo el callerid original. Un Vodafone llama a un Orange que tiene un desvío a un Movistar. ¿Movistar debe prohibir la llamada porque es un número Vodafone pero viene de Orange?

🗨️ 3
Magonos

@rbetancor Yo pensaba igual, pero efectivamente ¿Cómo solucionas el problema que comenta @59fnzdf9 ?

interceptor

Ojo porque si se hace bien el desvío, el operador que lo genera señaliza toda la numeración original y todo. Esto es igual que el número oculto, tu operador no te lo presenta pero si recibe la llamada con él ID de original (Creo). Hay algunas compañías que te permiten ver el número que te llama en oculto, al igual que creo que en las centralitas cuando hay un desvío les aparece la numeración intermedia y no la original.

rbetancor
1

No me olvido, esa causistica ya está contemplada. Igual que las llamadas en tránsito de red.

Repito que solución técnica la hay hace años … el problema real es una mezcla de burrocracia con falta de ganas de "las marias" de hacer las cosas como toca.

Lobo Anonimo
4

Si Telefonica fuese una empresa seria, ya habrian intentado hacer algo para combatir todas estas estafas.

Yo por lo menos pondria un bloqueo a los SMS de "BBVA" donde te dicen que "verifiques inmediatamente tu cuenta en es.bbva-usarios-inicio.com".

Para bloquear dominios no tienen nunca problemas, pero para proteger a sus clientes de estafas, no hacen nada.

🗨️ 3
rbetancor
1

Lo que pides, viola el secreto de las comunicaciones. Es anticostitucional

Aokromes

yo si fuese responsable de ciber seguridad de los bancos pasaba TODAS las comunicaciones, da igual que sea en movil, PC, tablet a aplicaion o pagina web, ninguna llamada telefonica o SMS.

esj

Todos los días del año me llega un SMS parecido de BBVA que por supuesto es falso, y nunca he sido cliente de BBVA es de locos

Carmelo13

La solución es ID call y ID SMS certificado por las telefónicas españolas.

Si no hay identificación posible, número oculto. Me da igual que el llamante sea español o extranjera.

Campaña institucional: número desconocido, no lo cojas, bloquea.

Y las centralitas, número fijo sin extensiones.

Cosmonauta
2

Parece que el tema ha llegado a tal punto que por fin parece que hay intención de poner orden. Espero que se adopten medidas técnicas efectivas y no tonterías que las empresas de spam se pasan por el forro.

🗨️ 1
interceptor

Incluso las compañías voz IP españolas serias ya también han cortado el grifo. Antes permitían que si les verificabas que el ID era tuyo mostrarlo (por ejemplo un número fácil móvil), ahora cada vez se está poniendo más complicado…

AZp
1

Quien me iba a decir en los años 90, que esta es la nueva manera de robar a lo grande.

Espero que saquen algún remedio, porque estas cosas pueden resultar indiferentes hasta que le toque a uno.

lordman
3

Lo que tendrían que hacer es primero prohibir las llamadas publicitarias y luego prohibir las empresas comisionistas obligando a las operadoras a no aceptar contratos hechos por terceros. Quien quiera una oferta lo tiene fácil, que llame a la operadora que sea.

Es decir, una cosa es que se llame al número de ofertas de la operadora y está rebote hacia una empresa que tenga subcontratada y otra es que haya empresas a comisión llamando a discrección a todo dios.

🗨️ 2
Dalbertm1

Eso perjudicaria a la libre competencia dejando el terreno libre para los grandes operadores y los pequeños pasarían a tomar un papel menos relevante.

Otra consecuencia directa que se notara el bolsillo de la gente de a pie.

Me parece que estas intermediarias tienen un papel importante solo deben seguir las leyes porque casi ninguna empresa de esta envergadura puede atender por si sola todas la solicitudes hay es donde deberian entrar los call centers.

🗨️ 1
lordman

Subcontratación si, no digo que no, para llamadas que hagan los clientes o futuros clientes para preguntar por ofertas o lo que sea, pero para llamadas que hagan los clientes.

Llamar para ofrecer ofertas es lo que tiene que estar prohibido totalmente. Y todo contrato formalizado así tiene que ser ilegal y fuertemente sancionado, con sanciones tanto para la empresa comisionista como, fundamental, para la operadora que acepta ese contrato.

Esto de las llamadas tendría que estar planteado como si se diera el caso de que todas las empresas andaran llamando a numeros de teléfono de gente y recibieramos 10 o 12 llamadas al día, eso no puede ser, pues ya está, prohibido totalmente, ni con consentimiento previo, para todas.

ciencia

Me parece algo genial, y de verdad muy necesario. Pero en su momento estuve investigando este tema (no porque pudiese hacer algo sino por interés en saber qué dificultad hay en detectar este tipo de spoofing) y hay un caso de uso bastante común que complica o impide este tipo de bloqueos o comprobaciones: El roaming.

Cuando estás en el extranjero y llamas a tu país, te encuentras en la red de un operador extranjero, pero a quien llamas le aparece tu número de España. ¿Qué ocurre ahí? Pues que está llegando una llamada de un número nacional desde un operador extranjero. Exactamente lo mismo que hacen los spoofers.

Ahora no lo recuerdo, pero diría que con las opciones actuales del protocolo de telefonía no había nada que hacer para solucionar esto. Como mucho, que al que llamas le aparezca un número súper raro (se me ocurre que un número especial con prefijo del país origen, seguido del número internacional del número original) o directamente venga en blanco, y ahí cada uno decida si aceptar la llamada si sabe que tiene a alguien conocido de fuera. Y ese sería un coladero de spoofings.

Alexvr

¿Y una base de datos en el que se asocie el número de teléfono con solo uno o varios iccid de la propia SIM?

Y que la base de datos se modifique al mismo tiempo que se completa la portabilidad borrando los iccid y introduciendo el/los nuevo(s).

Blue77

Es una medida que llega tarde en un nuevo intento de simular persecución o intentar anular a las grandes empresas corruptas que emplean esa suplantación de identidad, o enmascaramiento de identidad.

Y como siempre ocurre, llega tarde para favorecer a esas grandes corporaciones corruptas, y eliminar la competencia de las corruptas más pequeñas.

Las grandes empresas corruptas (aseguradoras, teleoperadoras de banca, recobros, suministros…, etc, tienen a comerciales trabajando desde cualquier parte, con su teléfono móvil particular, con los gastos de telefonía y datos a cargo del titular de la línea particular (el trabajador).

1