La digitalización por un lado y que por otro que podamos hacer prácticamente cualquier trámite a través del móvil ha posibilitado que el teléfono sea una de las mejores puertas de entrada para las estafas. Si además tenemos en cuenta los adelantos tecnológicos aplicados para el mal (mención especial merece la inteligencia artificial), el resultado es que cada vez es más frecuente ser víctima o al menos ver el anzuelo de una estafa telefónica y cuesta más distinguir qué es un timo y qué no. Mi consejo es andar siempre con mi ojos y la desconfianza por defecto, pero es que a veces la estafa está tan bien elaborada que te hace dudar. Como la información es poder (y seguridad), te contamos cómo se producen estas falsificaciones telefónicas y qué debes saber para que te salten las alarmas.
Le llamo porque sus ahorros están en peligro (y vaya que si lo estaban)
Puede que todavía no hayas sido víctima de un timo telefónico, pero es altamente probable que tarde o temprano aparezca ese anzuelo. Sin ir más lejos, una historia de estafa se ha hecho tristemente viral por su efectividad y consecuencias, la que cuenta Miguel Ángel Sánchez en su perfil de X/Twitter.
Una supuesta llamada de un banco alertando de que alguien había accedido a una cuenta bancaria desde otra localización y dispositivo con suficientes detalles y consejos de seguridad como para ganarse la confianza de la persona. Tras alertarle del peligro, le dio dos recomendaciones: acudir a una oficina de su banco o seguir unos pasos desde su teléfono al momento para guardar su dinero a buen recaudo durante la incidencia.
Miguel Ángel dudó y el estafador le instó nuevamente a acudir a una oficina o buscar el número desde el que estaba recibiendo la llamada en internet. El número coincidía con uno de cierta sucursal de su banco. Cayó en el anzuelo y 25 minutos después ya lo había perdido todo: había hecho diferentes transferencias con todo su dinero valiéndose de SMS donde aparecía número de cuenta y un código de seguridad.
Cuando al día siguiente la víctima volvió a contactar con el número para que el dinero regresase a su cuenta, le contestó una persona que era verdaderamente de su banco y le confirmó lo peor: había sido una estafa. Lo que había sufrido Miguel Ángel Sánchez es un ID Spoofing, aderezado por información personal extra que tenían los estafadores, probablemente conseguida mediante phising.
Qué es el Caller ID Spoofing y cómo funciona
Como explica el Instituto Nacional de Ciberseguridad (INCIBE), el Spoofing o suplantación de identidad tiene lugar cuando el atacante se hace pasar por una fuente de confianza, en este caso personal del banco, para hacerse con datos privados y de este modo robarte dinero. En el caso viral anteriormente explicado, fue la propia víctima quien realizó las transferencias a otras cuentas tras ser engañado.
El Caller ID Spoofing es una técnica bastante rutinaria que cualquiera con ciertos conocimientos técnicos puede ejecutar. Al igual que internet, la red telefónica está conformada por la interconexión de redes de operadoras y aunque se considera un entorno cerrado donde quienes forman parte son de confianza, la realidad es que tiene brechas de seguridad importantes que posibilitan esta práctica.
Como explica Banda Ancha, cuando las operadoras intercambian llamadas emplean la señalización SS7. Así, cuando marcamos un número, la central de origen envía un mensaje IAM (Initial Address Message) donde está contenido el campo CPN (Calling Party Number), es decir, el número de la persona abonada que realiza la llamada (Caller ID). Este mensaje se enruta con los switches SS7 de las centrales de tránsito hasta llegar a la central de destino y el terminal, que muestra el número en la pantalla cuando se produce la llamada.
Cuando llegó la telefonía VoIP, esa red telefónica abrió sus puertas a otros participantes y ese protocolo SS7 diseñado en los 70 se enfrentó a la tecnología actual, demostrando sus carencias de seguridad ante quienes no respetan la normativa. ¿Cómo alterar el CLI? Con un software de centralita virtual como Asterisk (de código libre) y usando un servicio de un troncal SIP que no restrinja el Caller ID, lo que permite manipular la identificación y así verter llamadas spoofeadas a la red.
Por si te lo estás preguntando: no, no está permitido llevar a cabo esta práctica en España, ya que el operador origen de la llamada tiene la obligación de introducir este dato según el reglamento del Servicio Universal de Comunicaciones, incluso aunque tengamos activado el servicio de llamadas anónimas, por lo que está prohibido cambiar nuestro número por otro atendiendo a la legalidad.
Es cierto que hay ocasiones en las que vemos un número distinto del original, por ejemplo al recibir una llamada de Emergencias, pero para estos casos es necesario una autorización expresa del Ministerio. Pero hay una puerta abierta: las teleco domiciliadas en España no pueden modificar el CLI, pero están abiertas a tráfico internacional donde no aplica esta regulación
Portada | Genbeta
En Xataka Móvil | Timos en llamadas telefónicas: las estafas más extendidas y cómo evitar ser víctima de ellas
Ver 0 comentarios