Es probable que ya hayas experimentado las llamadas robóticas, incluso si no vives en los Estados Unidos. Esas llamadas de telemarketing (siempre vienen en tandas...) en las que un mensaje grabado o un representante robot intentan venderte una cosa y otra. La mayoría de nosotros hemos recibido este tipo de llamadas que probablemente no has pedido.
La prospección de llamadas en frío está bien en la mayoría de los países cuando se hace con medida y respeto, pero las malas prácticas surgieron en este ámbito y adquirieron una enorme proporción, especialmente en EE.UU., donde en cuanto activas una tarjeta Sim te inundan esas llamadas automatizadas. Está arruinando la experiencia del usuario final, reduciendo la confianza en los medios de comunicación de las telecomunicaciones y costando mucho a los operadores cuando se les asocia con el fraude. Así que había que hacer algo para frenar esta tendencia. Una de las respuestas de la comunidad de telecos y de los legisladores es aumentar la responsabilidad de los operadores y la transparencia sobre los usuarios de Did. Transparencia sobre quién está detrás de las llamadas de prospección y quién está detrás de los números de teléfono utilizados.
El problema es que las llamadas suelen pasar por una serie de transportistas antes de llegar a su destino. Si la información sobre la legitimidad de la persona que llama puede ser conocida por el primer transportista, la información no suele ser revelada a los demás transportistas de la cadena, especialmente al último que se supone que dirige la llamada al usuario final. Una forma de que todos los integrantes de la cadena sean responsables de la legitimidad de la persona que llama y, por tanto, de la llamada, es crear un certificado con la información de la persona que llama y transferirlo junto con la llamada. Esto es lo que hacen los protocolos STIR/SHAKEN y por lo que se implementa a partir del 30 de junio de 2021 en EE.UU. para ayudar a hacer cumplir las leyes de identificación de llamadas, controlar la identificación de llamadas y aplicar sanciones en caso de uso fraudulento.
¿Cuál es el problema de un identificador de llamadas no identificado?
1) Llamadas no solicitadas y abusivas
Recientemente, las Robocalls, es decir, las llamadas generadas por máquinas con audio pregrabado o IVR inteligente, han estado en el punto de mira como la principal amenaza para la confianza del público en general en la industria de las telecomunicaciones. Señalemos que hay muchas razones legítimas para utilizar IVR inteligentes y máquinas para generar llamadas. Por ejemplo, para anunciar al público en general, o para recibir una llamada automatizada de un representante de atención al cliente a una hora determinada, o para crear conferencias telefónicas llamando a las partes a su teléfono... Así que la cuestión no es tanto la automatización de las llamadas como la identificación de la persona que llama. En la gran mayoría de los casos de uso, puedes identificar a la persona que te llama, aunque no la conozcas. A veces ves la información directamente en tu smartphone o puedes encontrarla después en Internet. Entonces puedes responder a la llamada o pedir que no te vuelvan a llamar si no te interesa. Y no pasa nada porque la persona que te llama forma parte de una empresa legítima y muestra su número de teléfono real que puedes comprobar y bloquear. Cuando el motivo por el que alguien le llama es menos legítimo, es probable que esta persona prefiera no ser identificada.
Cuando planean hacer llamadas abusivas o no solicitadas, los estafadores no suelen querer que las personas abusadas les devuelvan la llamada, y tampoco suelen querer que la policía llame a su puerta. Si efectivamente consiguen un número de teléfono real, la Policía puede pedir al operador que lo ha proporcionado que bloquee el Did para dar la información que permita encontrar y perseguir a estos estafadores, pero ese es el escenario ideal
Así que para evitar que se les devuelva la llamada o que den su dirección local para que se les conceda un número de teléfono, los estafadores simplemente utilizan Dids que no les pertenecen y eso resuelve todos sus problemas. Falsificando el Did de otra persona se vuelven ilocalizables, y pueden llegar a miles de personas cada día sin consecuencias ni control... hasta ahora.
2) Suplantación de Did
Entonces, ¿cómo puede alguien hacerse ilocalizable y utilizar un Did que no es suyo para hacer llamadas? Es bastante sencillo hacerlo. Hay muchos programas de telecomunicaciones que simplemente preguntan al configurar qué Did quieres usar como identificador de llamadas y generan llamadas con este identificador de llamadas. Normalmente no hay nada malo en ello. Cuando un operador recibe un rango de la agencia reguladora nacional, sólo recibe una lista de Dids que puede utilizar y configurar en el equipo de su cliente. Así que, en teoría, también podría configurar este equipo con un Did que no es el suyo. Como operador regulado, no quieres hacer eso, pero técnicamente no es difícil. Y efectivamente la suplantación de Did y va en contra de todas las regulaciones del mundo.
Además de utilizar un Did que no es tuyo (y quizás estafar a la gente en el proceso...), hay otros problemas con la suplantación de Did. En primer lugar, dificulta mucho la vida de los agentes de la ley, ya que la información adjunta al Did no coincide con la de la persona real que lo utiliza. Así, aunque el usuario legítimo del Did haya dado toda la información necesaria para utilizarlo, no es la persona correcta que está detrás del uso fraudulento. Durante una investigación, es un problema muy grave tanto para las fuerzas policiales como para los usuarios legítimos. En segundo lugar, y por consiguiente, la suplantación de Did está cada vez más cerca de la suplantación de identidad, ya que nuestro uso de Did está en gran medida relacionado con la identificación automatizada, en la banca, en las compras en línea, en el pago... Por lo tanto, utilizar el número de otra persona es el primer paso hacia la suplantación de identidad y esto no está bien.
3) Desconfianza de las telecos y los operadores
No sólo no está bien por las razones mencionadas anteriormente, sino que tampoco está bien para las llamadas legales y toda la industria de las telecomunicaciones. En EE.UU., menos de la mitad de las llamadas son contestadas, ya que la gente desconfía de las llamadas de voz tradicionales, que sin embargo son una gran herramienta de comunicación. Se trata de una tendencia creciente en todo el mundo y una gran preocupación para los operadores de telecomunicaciones. Las llamadas de voz siguen siendo un gran medio de comunicación y la confianza en las Dids es cada vez más importante, incluso cuando se utilizan en soluciones de telecomunicaciones alternativas como las aplicaciones VOIP o los escenarios de identificación. Por lo tanto, para recuperar la confianza en las llamadas de voz regulares del público en general, así como para reducir el fraude basado en el número de teléfono en todos los medios de comunicación, los operadores tuvieron que encontrar una manera de recoger, almacenar, transferir y validar la información sobre el número de teléfono y su usuario. Para ello, los protocolos STIR/SHAKEN resultan muy útiles.
Le STIR/SHAKEN
STIR/SHAKEN es un conjunto de procedimientos y protocolos creados para luchar contra la suplantación de identidad.
**1) ¿Qué es STIR y cómo funciona?
Es el procedimiento y el protocolo para las llamadas SIP/VoIP:
STIR para "Secure Telephony Identity Revisited" es un procedimiento que añade a la cabecera SIP de una llamada un certificado digital que da información sobre el llamante, el destinatario y la legitimidad del llamante para usar el Did. El certificado digital, un Token Web JSON, es producido por el proveedor de Did de la llamada comparando este Did con su propia base de datos de DID, cuando se inicia la llamada.
Si el Did es totalmente reconocido (todos los dígitos), lo que significa que el proveedor de Did valida que la parte originaria está registrada en su base de datos como un cliente conocido, entonces la llamada recibe el mayor grado de verificación o "atestación completa" que se indica en la cabecera SIP con una "A". Si el Did se reconoce parcialmente (varios primeros dígitos, por ejemplo) como parte de una lista de Dids que el proveedor asignó a un cliente, la llamada recibe una "Atestación parcial", que se indica con una "B" en la cabecera. Por último, si el proveedor de llamadas sólo puede validar que la llamada procede de una pasarela de confianza, cuando una llamada transita por varios proveedores, por ejemplo, la llamada recibe la "Atestado de pasarela", que se indica en la cabecera con la letra "C".
El token de la llamada es encriptado con una clave privada y descifrado con una clave pública por el operador en el punto final llamado. Esto significa que todos los operadores "legítimos" tendrán que registrarse en una autoridad de certificación para obtener esta clave pública. Todas las llamadas que no superen las comprobaciones del punto final, es decir, que se desconozca la clave pública, que haya incoherencias entre el llamante Did presente en el punto final y el llamante Did utilizado en el punto de partida, acabarán considerándose como no validadas y podrán bloquearse antes de llegar al usuario final.
**2) ¿Qué es SHAKEN y cómo funciona?
Para las llamadas no-VoIP que utilizan SS7, como las llamadas a teléfonos móviles o a teléfonos fijos analógicos (POTS), no se puede utilizar la cabecera SIP y, por tanto, tampoco el protocolo STIR. Para ofrecer una alternativa a STIR con un mayor nivel de seguridad en comparación con la situación actual, se ha introducido el sistema SHAKEN o "Signature-based Handling of Asserted information using toKENs". Todavía no se ha finalizado y, por tanto, no puede discutirse en su totalidad, pero este sistema consiste en añadir información adicional al nombre de la persona que llama presentado al usuario final por el último operador SIP capaz de certificar el certificado STIR. Así, en la cadena de operadores que gestionan la llamada, el primer operador SIP generará el certificado STIR y el último operador SIP tendrá que leer el certificado y añadir "Verificado" o "No verificado" al nombre del llamante presentado al usuario final. Lo que ayudará a este usuario a elegir si quiere responder o no.
¿Qué significa para los operadores de voz?
Para el tránsito de tráfico local en países en los que no se aplica el protocolo STIR/SHAKEN no se aplica lo siguiente. Pero como el número de países que consideran este marco de identificación es cada vez mayor, vamos a ponernos en la piel de los operadores que tienen que cumplirlo. Esto también podría aplicarse pronto a los operadores extranjeros que deseen enviar llamadas a países preparados para STIR/SHAKEN.
1) Poder generar certificados para sus llamadas
Como operador que permite a sus clientes utilizar Dids y generar llamadas, será usted quien inicie el proceso y tendrá que ser capaz de generar el certificado STIR. esto significa que puede tener que registrarse en la autoridad de certificación a la que pertenecen sus Dids. En EE.UU. tienes que registrarte ante el Administrador de Políticas de Identidad Telefónica Segura (STI-PA) que aprueba a los proveedores de servicios de voz para que participen en el marco STIR/SHAKEN. Una vez validado, podrá acceder al repositorio de certificados y generar o leer el certificado STIR. El sistema STIR/SHAKEN está implantado en Estados Unidos desde el 30 de junio de 2021, pero esto no significa que todos los operadores estén preparados para utilizarlo ni que todos los países del mundo vayan a implantarlo pronto, pero a medida que el uso fraudulento de los Dids aumente, cada vez más países lo implantarán en el futuro, por lo que si gestiona Dids en su país es posible que quiera estar al día de las iniciativas locales de STIR/SHAKEN.
2) Ser capaz de llevar los certificados a sus proveedores de interconexión
Si transporta las llamadas de un operador a otro, su trabajo consiste en llevar el certificado junto con la llamada. Si modifica el certificado, la llamada corre el riesgo de ser considerada fraudulenta y rechazada por el operador final. Por lo tanto, le aconsejamos que sea capaz de transferir certificados o, al menos, que esté preparado para hacerlo y que se asegure de que sus socios locales hagan lo mismo, especialmente los que originan las llamadas, que deben ser capaces de proporcionar la certificación adecuada para las llamadas realizadas.
Sin embargo, siguen existiendo muchas situaciones poco claras y preguntas sin respuesta cuando se trata de transportar llamadas certificadas.
Por ejemplo, ¿cómo transportar las llamadas entre dos países que tienen agencias de certificación diferentes y, por lo tanto, diferentes depositarios de certificados? ¿Significa que este marco no se aplicará a las llamadas internacionales o que habrá que estar registrado en todas las agencias de certificación nacionales de los países a los que se envían las llamadas?
Hay un principio de respuesta en Estados Unidos con el caso de los operadores extranjeros que tienen Dids estadounidenses. De hecho, la propuesta de la autoridad estadounidense es que el transportista estadounidense y el operador extranjero trabajen juntos para validar la legitimidad de las llamadas y que el transportista estadounidense genere un certificado. Se trata de un proceso personalizado que debe construirse para cada asociación y en cada país, por lo que no es una verdadera solución global.
3) Tenga cuidado con su "reputación" STIR/SHAKEN.
Si está proporcionando Dids a los usuarios finales, estará literalmente firmando cada llamada con su clave pública y, por lo tanto, una mayor responsabilidad con respecto a la legitimidad de esas llamadas recaerá sobre usted. Si permites actividades de suplantación o estafa como parte de tu servicio, acabarás teniendo tu clave revocada y ya no podrás enviar tus llamadas en la red. No querrá que su clave esté en la lista negra de la mayoría de los principales operadores nacionales o internacionales. Esto podría llevarle a replantearse la oportunidad de prestar su servicio a los clientes con el tráfico con el que no se siente cómodo. Además, podría ser un juego muy peligroso empezar a reformar los certificados de las llamadas conocidas como malas a las llamadas "A" con su flamante certificado de proveedor. Porque, aunque puedas tener una buena ganancia a corto plazo o incluso si lo haces para una pequeña cantidad de tráfico, te arriesgas a una revocación de la clave o a la inclusión en una lista negra por parte de los operadores del punto final, lo que significa poner en peligro todo tu negocio de voz. A decir verdad, este es uno de los principales objetivos de este proceso, será difícil no conocer la calidad del tráfico enrutado. Por lo tanto, la elección estará del lado del operador y de la operadora, ya sea autorizar el tráfico fraudulento o dejar de enrutarlo definitivamente.
Aplicación local del marco STIR/SHAKEN en el mundo
Los Estados Unidos ya han comenzado a aplicar este mecanismo a partir del 30 de junio de 2021 para los grandes transportistas, con una ampliación del plazo hasta el 30 de junio de 2022 para los transportistas más pequeños. Si usted es un transportista estadounidense y ha perdido el autobús, existen múltiples recursos para ponerse al día, especialmente el sitio web de las autoridades estadounidenses. Canadá le seguirá con una fecha límite fijada para el 30 de noviembre de 2022. El Reino Unido está estudiando la posibilidad de aplicarla también después de la sustitución completa de la red PSTN en 2025. Francia ha trabajado tanto en una ley para reforzar la supervisión del marketing telefónico y luchar contra las llamadas fraudulentas (Ley Naegelen) como en una simplificación de su política nacional de numeración. Esto ha llevado a introducir en la legislación un mecanismo para certificar los identificadores de llamadas. Incluso se ha dedicado una gama de Dids móviles para iniciar la implementación del sistema, aunque no hay más detalles sobre el marco de implementación (Lea nuestro artículo sobre el tema). Así que, en conclusión, la tendencia es global y tardará algunos años, pero otros países la seguirán y es una buena oportunidad para que las compañías y operadores legítimos mejoren la calidad del servicio de voz local y global y participen en el aumento de la confianza del público en el servicio de voz.
Díganos si ve otros aspectos a tener en cuenta en la aplicación del STIR/SHAKEN para los operadores y nos aseguraremos de actualizar esta página para ayudar a otros compañeros operadores. Además, díganos cuál es su opinión y su experiencia en el uso de este marco. Estaremos encantados de debatir con usted.