La suplantación de identidad del identificador de llamada es un ataque de suplantación de identidad que hace que el identificador de llamada de la red telefónica indique al receptor de una llamada que el origen de la llamada es una estación distinta de la estación de origen real. Esto puede provocar que se muestre en la pantalla un número de teléfono distinto del del teléfono desde el que se realizó la llamada. [1]
El término se utiliza comúnmente para describir situaciones en las que el originador considera que la motivación es maliciosa.
Un efecto de la amplia disponibilidad de suplantación de identidad de llamadas es que, como publicó AARP en 2019, "ya no se puede confiar en la identificación de llamadas". [2] [3]
La suplantación de identidad de llamadas ha estado disponible durante años para personas con una conexión digital especializada a la compañía telefónica, llamada circuito ISDN PRI . Agencias de cobro, funcionarios encargados de hacer cumplir la ley e investigadores privados han utilizado la práctica, con distintos grados de legalidad. El primer servicio de suplantación de identidad de llamadas fue lanzado en todo Estados Unidos el 1 de septiembre de 2004 por Star38.com, con sede en California. [4] Fundado por Jason Jepson, [5] fue el primer servicio que permitió realizar llamadas suplantadas desde una interfaz web. Dejó de ofrecer el servicio en 2005, cuando se lanzaron un puñado de sitios similares. [1] [6]
La suplantación de identidad del interlocutor también se ha utilizado en estafas de compra en sitios web como Craigslist y eBay. El estafador afirma que llama desde Canadá a los EE. UU. con un interés legítimo en comprar los artículos anunciados. A menudo, se les pide a los vendedores información personal, como una copia de un título de registro, etc., antes de que el comprador (estafador) invierta el tiempo y el esfuerzo necesarios para venir a ver los artículos en venta. En las elecciones de 2010, se utilizaron identificadores de llamadas falsos de empresas de ambulancias y hospitales en Missouri para conseguir que los votantes potenciales respondieran al teléfono. [7] En 2009, una vengativa esposa de Brooklyn falsificó el consultorio médico de la amante de su marido en un intento de engañar a la otra mujer para que tomara medicamentos que la harían abortar. [8]
La suplantación de identidad del identificador de llamadas se ha utilizado para realizar llamadas de broma , a veces con consecuencias devastadoras. En diciembre de 2007, un adolescente de Washington utilizó un servicio de suplantación de identidad del identificador de llamadas para enviar un equipo SWAT a la casa de una víctima desprevenida. [9] En febrero de 2008, un hombre de Collegeville, Pensilvania, fue arrestado por realizar llamadas telefónicas amenazantes a mujeres y hacer que sus números de teléfono residenciales aparecieran "en su identificador de llamadas para que pareciera que la llamada provenía del interior de la casa". [10]
En marzo de 2008, varios residentes de Wilmington, Delaware , informaron haber recibido llamadas de telemercadeo durante las primeras horas de la mañana, cuando el interlocutor aparentemente había falsificado el identificador de llamadas para evocar el éxito de 1981 de Tommy Tutone " 867-5309/Jenny ". En 2014, se observó un aumento en los telemercaderes ilegales que mostraban el número de la propia víctima, ya sea textualmente o con algunos dígitos aleatorios, como un intento de evadir las listas negras basadas en el identificador de llamadas. [11]
En las elecciones federales canadienses del 2 de mayo de 2011 , se alega que se realizaron llamadas en vivo y llamadas automáticas con un identificador de llamada falso, ya sea para reemplazar la identidad del autor de la llamada con la de una persona ficticia ( Pierre Poutine de Joliette, Quebec ) [12] o para disfrazar las llamadas de un centro de llamadas de Ohio como llamadas nacionales de Peterborough, Ontario . Véase el escándalo de las llamadas automáticas .
En junio de 2012, una búsqueda en Google arrojó casi 50.000 quejas de consumidores por recibir múltiples llamadas de voz sobre IP (VoIP) falsificadas en líneas alquiladas/originadas por "Pacific Telecom Communications Group" ubicada en Los Ángeles, California (en una tienda de buzones de correo), en aparente violación de las normas de la FCC. Empresas como estas alquilan miles de números de teléfono a proveedores de correo de voz anónimo que, en combinación con empresas dudosas como "Phone Broadcast Club" (que se encargan de la suplantación real), permiten que el spam telefónico se convierta en un problema cada vez más extendido y generalizado. En 2013, el nombre engañoso de la persona que llama "Teachers Phone" fue reportado en una gran cantidad de llamadas automáticas que anunciaban servicios de tarjetas de crédito como una artimaña para engañar a las familias de los estudiantes para que respondieran las llamadas no deseadas creyendo erróneamente que eran de escuelas locales. [13]
El 7 de enero de 2013, el Centro de Quejas de Delitos en Internet emitió una alerta de estafa por varios ataques de denegación de servicio telefónico mediante los cuales los estafadores usaban identificadores de llamadas falsos para hacerse pasar por la policía en un intento de cobrar préstamos de día de pago falsos , y luego realizaban repetidas llamadas de acoso a la policía con el número de la víctima visible. [14] Si bien la suplantación de la policía es común, [15] [16] otras estafas implicaban hacerse pasar por empresas de servicios públicos para amenazar a empresas o propietarios de viviendas con la desconexión [17] como un medio para extorsionar dinero, [18] hacerse pasar por funcionarios de inmigración [19] o hacerse pasar por aseguradoras médicas para obtener datos personales para su uso en el robo de identidad . [20] El identificador de llamadas falso también se ha utilizado en estafas de abuelos , que se dirigen a los ancianos haciéndose pasar por miembros de la familia y solicitando transferencias bancarias de dinero. [21]
En 2018, un método de suplantación de identificación de llamadas se denominó "suplantación de vecino", y se utilizó el mismo código de área y prefijo telefónico de la persona a la que se llamaba, o el nombre de una persona o empresa en el área. [22]
La identificación de llamadas se falsifica mediante distintos métodos y tecnologías. Las formas más populares de falsificar la identificación de llamadas son mediante el uso de VoIP o líneas PRI .
En el pasado, la suplantación de identidad del interlocutor requería un conocimiento avanzado de los equipos de telefonía, lo que podía resultar bastante costoso. Sin embargo, con software de código abierto (como Asterisk o FreeSWITCH , y prácticamente cualquier empresa de VoIP ), se pueden suplantar llamadas con un coste y un esfuerzo mínimos.
Algunos proveedores de VoIP permiten al usuario configurar su número mostrado como parte de la página de configuración en la interfaz web del proveedor. No se requiere software adicional. Si el nombre de la persona que llama se envía con la llamada (en lugar de generarse a partir del número mediante una búsqueda en la base de datos en el destino), se puede configurar como parte de la configuración de un adaptador telefónico analógico o un teléfono SIP propiedad del cliente . El nivel de flexibilidad depende del proveedor. Un proveedor que permite a los usuarios traer su propio dispositivo y desagrega el servicio de modo que los números de marcación entrante directa se puedan comprar por separado de los minutos de llamada saliente será más flexible. Un operador que no sigue estándares de hardware establecidos (como Skype ) o impide a los suscriptores la configuración de los ajustes en el hardware que el suscriptor posee por completo (como Vonage ) es más restrictivo. Los proveedores que comercializan "VoIP al por mayor" normalmente tienen la intención de permitir que se envíe cualquier número mostrado, ya que los revendedores querrán que aparezcan los números de sus usuarios finales.
En casos excepcionales, se puede llegar a un número de destino atendido por voz sobre IP directamente en una dirección SIP conocida (que puede publicarse a través de la asignación de números de teléfono ENUM , un registro DNS .tel o ubicarse utilizando un intermediario como SIP Broker). Algunos usuarios de Google Voice son directamente accesibles por SIP , al igual que todos los números de iNum Initiative en los códigos de país +883 5100 y +888. Como esquema de VoIP federado que proporciona una conexión directa a Internet que no pasa por una puerta de enlace de señalización a la red telefónica pública conmutada , comparte las ventajas (acceso ilimitado casi gratuito en todo el mundo) y las desventajas (aplicaciones de Internet).
Algunos servicios de suplantación de identidad funcionan de manera similar a una tarjeta de llamada prepago . Los clientes pagan por adelantado un número de identificación personal (PIN). Los clientes marcan el número que les proporciona la empresa, su PIN, el número de destino y el número que desean que aparezca como identificador de llamadas. La llamada se puentea o se transfiere y llega al número suplantado elegido por la persona que llama, engañando así a la parte llamada.
Muchos proveedores también ofrecen una interfaz basada en la Web o una aplicación móvil donde el usuario crea una cuenta, inicia sesión y proporciona un número de origen, un número de destino y la información de identificación de llamada falsa que se mostrará. A continuación, el servidor realiza una llamada a cada uno de los dos números de punto final y conecta las llamadas.
Algunos proveedores ofrecen la posibilidad de grabar llamadas, cambiar la voz y enviar mensajes de texto . [23]
Otro método de suplantación de identidad es el de emular la señal FSK del Bell 202. Este método, llamado informalmente " caja naranja" , utiliza un software que genera la señal de audio que luego se acopla a la línea telefónica durante la llamada. El objetivo es engañar a la parte llamada para que piense que hay una llamada entrante en espera del número suplantado, cuando en realidad no hay ninguna llamada entrante nueva. Esta técnica a menudo también implica un cómplice que puede proporcionar una voz secundaria para completar la ilusión de una llamada en espera. Debido a que la caja naranja no puede falsificar realmente la identificación de una llamada entrante antes de responder y depende en cierta medida de la astucia de la persona que llama, se considera tanto una técnica de ingeniería social como un truco técnico.
Otros métodos incluyen el acceso por conmutación a la red del Sistema de Señalización 7 y la ingeniería social de los operadores de compañías telefónicas, quienes realizan llamadas por usted desde el número de teléfono deseado.
Los fabricantes de equipos de central telefónica varían en su manejo de la visualización del nombre de la persona que llama. Gran parte del equipo fabricado para las empresas de Bell System en los Estados Unidos envía solo el número de la persona que llama a la central distante; esa central debe utilizar luego una búsqueda en la base de datos para encontrar el nombre que se mostrará junto con el número que llama. Las centrales telefónicas fijas canadienses a menudo utilizan equipos Nortel que envían el nombre junto con el número. Las centrales móviles , CLEC , de Internet o independientes también varían en su manejo del nombre de la persona que llama, según el fabricante del equipo de conmutación. Las llamadas entre números con diferentes códigos de país representan una complicación adicional, ya que el identificador de llamadas a menudo muestra la parte local del número que llama sin indicar un país de origen o en un formato que puede confundirse con un número nacional o no válido.
Esto da lugar a múltiples resultados posibles:
La suplantación de identidad de llamadas sigue siendo legal en Canadá y recientemente se ha vuelto tan común que el Centro Antifraude de Canadá ha "agregado un mensaje automático sobre [la práctica] a su línea directa de denuncia de fraude". [25] El CRTC estima que el 40% de las quejas que recibe sobre llamadas no solicitadas involucran suplantación de identidad. [26] La agencia aconseja a los canadienses que presenten quejas sobre dichas llamadas, [27] proporciona una lista de opciones de protección para lidiar con ellas en su sitio web, [28] y, desde julio hasta diciembre de 2015, realizó una consulta pública para identificar "soluciones técnicas" para abordar el problema. [26] [28] [29]
El 25 de enero de 2018, el CRTC estableció una fecha objetivo del 31 de marzo de 2019 para la implementación de un sistema de autenticación CID. [30] [31] El 9 de diciembre de 2019, el CRTC extendió esta fecha, anunciando que esperan que STIR/SHAKEN , un sistema de autenticación CID, se implemente para el 30 de septiembre de 2020. [32] [33] El 15 de septiembre de 2020, el CRTC extendió la fecha objetivo una vez más, cambiándola al 30 de junio de 2021. [34] El CRTC está considerando formalmente hacer obligatoria su fecha objetivo para STIR/SHAKEN. [35] [34]
El 19 de diciembre de 2018, el CRTC anunció que, a partir de un año a partir de esa fecha, los proveedores de telefonía deberán bloquear todas las llamadas con identificadores de llamadas que no se ajusten a los planes de numeración establecidos. [36]
Según un informe del Departamento de Telecomunicaciones de la India, el gobierno de la India ha tomado las siguientes medidas contra los proveedores de servicios de suplantación de CLI:
Según el Departamento de Transporte, el uso de un servicio de llamadas falsas es ilegal según la Ley de Telégrafos de la India, artículo 25(c). El uso de dicho servicio puede dar lugar a una multa, tres años de prisión o ambas.
En el Reino Unido, el número falsificado se denomina "número de presentación". Este número debe asignarse a la persona que llama o, si se asigna a un tercero, solo se puede utilizar con el permiso explícito de este último. [38]
Desde 2016, las empresas de marketing directo están obligadas a mostrar sus números de teléfono. Ofcom puede multar a las empresas que incumplan esta norma con hasta 2 millones de libras esterlinas . [39]
En 2021, Huw Saunders, director de Ofcom, el regulador del Reino Unido, dijo que la red telefónica actual del Reino Unido (red telefónica pública conmutada) se está actualizando a un nuevo sistema (protocolo de voz sobre Internet), que debería estar en funcionamiento en 2025. Saunders dijo: "Solo cuando la gran mayoría de las personas utilicen la nueva tecnología (VOIP) podremos implementar un nuevo parche para abordar este problema [de suplantación de identidad del identificador de llamadas]". [40]
En noviembre de 2022, Lindsey Fussell, directora del grupo de redes y comunicaciones de Ofcom, comentó sobre los esfuerzos en curso para combatir la suplantación de llamadas en el Reino Unido. Fussell enfatizó los desafíos inherentes a la implementación de nuevas medidas para bloquear las llamadas suplantadas, y señaló la importancia de no afectar las comunicaciones legítimas. Sus comentarios destacan la necesidad de un enfoque equilibrado y una colaboración continua entre las partes interesadas para adaptarse a las tácticas cambiantes de los estafadores. [41]
En Estados Unidos, la suplantación de identidad del identificador de llamadas es ilegal si se realiza "con la intención de defraudar, causar daño u obtener ilegalmente algo de valor". La ley federal pertinente, la Ley de Veracidad en la Identificación de Llamadas de 2009 , establece excepciones para ciertos fines de aplicación de la ley. Las personas que llaman también pueden conservar su anonimato optando por bloquear toda la información de identificación de llamadas salientes en sus líneas telefónicas.
Según la ley, que también se aplica a los servicios de VoIP, es ilegal "hacer que cualquier servicio de identificación de llamadas transmita a sabiendas información de identificación de llamadas engañosa o inexacta con la intención de defraudar, causar daño u obtener ilícitamente algo de valor...". Se podrían imponer sanciones de decomiso o multas penales de hasta $10,000 por infracción (sin exceder $1,000,000). [23] La ley mantiene una exención para bloquear la propia información de identificación de llamadas salientes, y la aplicación de la ley no se ve afectada. [42] [43]
El New York Times envió el número 111-111-1111 para todas las llamadas realizadas desde sus oficinas hasta el 15 de agosto de 2011. El número falso tenía como objetivo evitar que las extensiones de sus reporteros aparecieran en los registros de llamadas, y así proteger a los reporteros de tener que divulgar las llamadas realizadas a fuentes anónimas . El Times abandonó esta práctica debido a los cambios propuestos a la ley de identificación de llamadas, y porque muchas empresas estaban bloqueando las llamadas desde el conocido número. [44]
A partir de mediados de 2017, la FCC impulsó la certificación de identificador de llamadas implementada mediante un marco conocido como STIR/SHAKEN . [45] [46] SHAKEN/STIR son las siglas de Signature-based Handling of Asserted Information Using toKENs (SHAKEN) y los estándares Secure Telephone Identity Revisited (STIR). La FCC ha ordenado que los proveedores de telecomunicaciones implementen la certificación de identificador de llamadas basada en STIR/SHAKEN en las partes IP de sus redes a partir del 30 de junio de 2021 a más tardar. [45]
El 1 de agosto de 2019, la FCC votó para extender la Ley de Veracidad en la Identificación de Llamadas a las llamadas y mensajes de texto internacionales. [47] El Congreso aprobó la Ley TRACED en 2019, que hace obligatoria la autenticación de la identificación de llamadas. [48]
No se puede confiar en el identificador de llamadas... ¿cómo se puede detener el timbre incesante?
{{cite web}}
: |last=
tiene nombre genérico ( ayuda )