¬ŅC√≥mo le afectar√° a usted como operador el mecanismo de validaci√≥n de llamadas STIR/SHAKEN?

16/4/2022 - 12 min. read

Robocall et STIR SHAKEN

Es probable que ya hayas experimentado las llamadas robóticas, incluso si no vives en los Estados Unidos. Esas llamadas de telemarketing (siempre vienen en tandas...) en las que un mensaje grabado o un representante robot intentan venderte una cosa y otra. La mayoría de nosotros hemos recibido este tipo de llamadas que probablemente no has pedido.

La prospecci√≥n de llamadas en fr√≠o est√° bien en la mayor√≠a de los pa√≠ses cuando se hace con medida y respeto, pero las malas pr√°cticas surgieron en este √°mbito y adquirieron una enorme proporci√≥n, especialmente en EE.UU., donde en cuanto activas una tarjeta Sim te inundan esas llamadas automatizadas. Est√° arruinando la experiencia del usuario final, reduciendo la confianza en los medios de comunicaci√≥n de las telecomunicaciones y costando mucho a los operadores cuando se les asocia con el fraude. As√≠ que hab√≠a que hacer algo para frenar esta tendencia. Una de las respuestas de la comunidad de telecos y de los legisladores es aumentar la responsabilidad de los operadores y la transparencia sobre los usuarios de Did. Transparencia sobre qui√©n est√° detr√°s de las llamadas de prospecci√≥n y qui√©n est√° detr√°s de los n√ļmeros de tel√©fono utilizados.

El problema es que las llamadas suelen pasar por una serie de transportistas antes de llegar a su destino. Si la informaci√≥n sobre la legitimidad de la persona que llama puede ser conocida por el primer transportista, la informaci√≥n no suele ser revelada a los dem√°s transportistas de la cadena, especialmente al √ļltimo que se supone que dirige la llamada al usuario final. Una forma de que todos los integrantes de la cadena sean responsables de la legitimidad de la persona que llama y, por tanto, de la llamada, es crear un certificado con la informaci√≥n de la persona que llama y transferirlo junto con la llamada. Esto es lo que hacen los protocolos STIR/SHAKEN y por lo que se implementa a partir del 30 de junio de 2021 en EE.UU. para ayudar a hacer cumplir las leyes de identificaci√≥n de llamadas, controlar la identificaci√≥n de llamadas y aplicar sanciones en caso de uso fraudulento.

¬ŅCu√°l es el problema de un identificador de llamadas no identificado?

1) Llamadas no solicitadas y abusivas

Recientemente, las Robocalls, es decir, las llamadas generadas por m√°quinas con audio pregrabado o IVR inteligente, han estado en el punto de mira como la principal amenaza para la confianza del p√ļblico en general en la industria de las telecomunicaciones. Se√Īalemos que hay muchas razones leg√≠timas para utilizar IVR inteligentes y m√°quinas para generar llamadas. Por ejemplo, para anunciar al p√ļblico en general, o para recibir una llamada automatizada de un representante de atenci√≥n al cliente a una hora determinada, o para crear conferencias telef√≥nicas llamando a las partes a su tel√©fono... As√≠ que la cuesti√≥n no es tanto la automatizaci√≥n de las llamadas como la identificaci√≥n de la persona que llama. En la gran mayor√≠a de los casos de uso, puedes identificar a la persona que te llama, aunque no la conozcas. A veces ves la informaci√≥n directamente en tu smartphone o puedes encontrarla despu√©s en Internet. Entonces puedes responder a la llamada o pedir que no te vuelvan a llamar si no te interesa. Y no pasa nada porque la persona que te llama forma parte de una empresa leg√≠tima y muestra su n√ļmero de tel√©fono real que puedes comprobar y bloquear. Cuando el motivo por el que alguien le llama es menos leg√≠timo, es probable que esta persona prefiera no ser identificada.

Cuando planean hacer llamadas abusivas o no solicitadas, los estafadores no suelen querer que las personas abusadas les devuelvan la llamada, y tampoco suelen querer que la polic√≠a llame a su puerta. Si efectivamente consiguen un n√ļmero de tel√©fono real, la Polic√≠a puede pedir al operador que lo ha proporcionado que bloquee el Did para dar la informaci√≥n que permita encontrar y perseguir a estos estafadores, pero ese es el escenario ideal

As√≠ que para evitar que se les devuelva la llamada o que den su direcci√≥n local para que se les conceda un n√ļmero de tel√©fono, los estafadores simplemente utilizan Dids que no les pertenecen y eso resuelve todos sus problemas. Falsificando el Did de otra persona se vuelven ilocalizables, y pueden llegar a miles de personas cada d√≠a sin consecuencias ni control... hasta ahora.

2) Suplantación de Did

Entonces, ¬Ņc√≥mo puede alguien hacerse ilocalizable y utilizar un Did que no es suyo para hacer llamadas? Es bastante sencillo hacerlo. Hay muchos programas de telecomunicaciones que simplemente preguntan al configurar qu√© Did quieres usar como identificador de llamadas y generan llamadas con este identificador de llamadas. Normalmente no hay nada malo en ello. Cuando un operador recibe un rango de la agencia reguladora nacional, s√≥lo recibe una lista de Dids que puede utilizar y configurar en el equipo de su cliente. As√≠ que, en teor√≠a, tambi√©n podr√≠a configurar este equipo con un Did que no es el suyo. Como operador regulado, no quieres hacer eso, pero t√©cnicamente no es dif√≠cil. Y efectivamente la suplantaci√≥n de Did y va en contra de todas las regulaciones del mundo.

Adem√°s de utilizar un Did que no es tuyo (y quiz√°s estafar a la gente en el proceso...), hay otros problemas con la suplantaci√≥n de Did. En primer lugar, dificulta mucho la vida de los agentes de la ley, ya que la informaci√≥n adjunta al Did no coincide con la de la persona real que lo utiliza. As√≠, aunque el usuario leg√≠timo del Did haya dado toda la informaci√≥n necesaria para utilizarlo, no es la persona correcta que est√° detr√°s del uso fraudulento. Durante una investigaci√≥n, es un problema muy grave tanto para las fuerzas policiales como para los usuarios leg√≠timos. En segundo lugar, y por consiguiente, la suplantaci√≥n de Did est√° cada vez m√°s cerca de la suplantaci√≥n de identidad, ya que nuestro uso de Did est√° en gran medida relacionado con la identificaci√≥n automatizada, en la banca, en las compras en l√≠nea, en el pago... Por lo tanto, utilizar el n√ļmero de otra persona es el primer paso hacia la suplantaci√≥n de identidad y esto no est√° bien.

3) Desconfianza de las telecos y los operadores

No s√≥lo no est√° bien por las razones mencionadas anteriormente, sino que tampoco est√° bien para las llamadas legales y toda la industria de las telecomunicaciones. En EE.UU., menos de la mitad de las llamadas son contestadas, ya que la gente desconf√≠a de las llamadas de voz tradicionales, que sin embargo son una gran herramienta de comunicaci√≥n. Se trata de una tendencia creciente en todo el mundo y una gran preocupaci√≥n para los operadores de telecomunicaciones. Las llamadas de voz siguen siendo un gran medio de comunicaci√≥n y la confianza en las Dids es cada vez m√°s importante, incluso cuando se utilizan en soluciones de telecomunicaciones alternativas como las aplicaciones VOIP o los escenarios de identificaci√≥n. Por lo tanto, para recuperar la confianza en las llamadas de voz regulares del p√ļblico en general, as√≠ como para reducir el fraude basado en el n√ļmero de tel√©fono en todos los medios de comunicaci√≥n, los operadores tuvieron que encontrar una manera de recoger, almacenar, transferir y validar la informaci√≥n sobre el n√ļmero de tel√©fono y su usuario. Para ello, los protocolos STIR/SHAKEN resultan muy √ļtiles.

Le STIR/SHAKEN

STIR/SHAKEN es un conjunto de procedimientos y protocolos creados para luchar contra la suplantación de identidad.

**1) ¬ŅQu√© es STIR y c√≥mo funciona?

Es el procedimiento y el protocolo para las llamadas SIP/VoIP:
STIR para "Secure Telephony Identity Revisited" es un procedimiento que a√Īade a la cabecera SIP de una llamada un certificado digital que da informaci√≥n sobre el llamante, el destinatario y la legitimidad del llamante para usar el Did. El certificado digital, un Token Web JSON, es producido por el proveedor de Did de la llamada comparando este Did con su propia base de datos de DID, cuando se inicia la llamada.

Si el Did es totalmente reconocido (todos los d√≠gitos), lo que significa que el proveedor de Did valida que la parte originaria est√° registrada en su base de datos como un cliente conocido, entonces la llamada recibe el mayor grado de verificaci√≥n o "atestaci√≥n completa" que se indica en la cabecera SIP con una "A". Si el Did se reconoce parcialmente (varios primeros d√≠gitos, por ejemplo) como parte de una lista de Dids que el proveedor asign√≥ a un cliente, la llamada recibe una "Atestaci√≥n parcial", que se indica con una "B" en la cabecera. Por √ļltimo, si el proveedor de llamadas s√≥lo puede validar que la llamada procede de una pasarela de confianza, cuando una llamada transita por varios proveedores, por ejemplo, la llamada recibe la "Atestado de pasarela", que se indica en la cabecera con la letra "C".

El token de la llamada es encriptado con una clave privada y descifrado con una clave p√ļblica por el operador en el punto final llamado. Esto significa que todos los operadores "leg√≠timos" tendr√°n que registrarse en una autoridad de certificaci√≥n para obtener esta clave p√ļblica. Todas las llamadas que no superen las comprobaciones del punto final, es decir, que se desconozca la clave p√ļblica, que haya incoherencias entre el llamante Did presente en el punto final y el llamante Did utilizado en el punto de partida, acabar√°n consider√°ndose como no validadas y podr√°n bloquearse antes de llegar al usuario final.

**2) ¬ŅQu√© es SHAKEN y c√≥mo funciona?

Para las llamadas no-VoIP que utilizan SS7, como las llamadas a tel√©fonos m√≥viles o a tel√©fonos fijos anal√≥gicos (POTS), no se puede utilizar la cabecera SIP y, por tanto, tampoco el protocolo STIR. Para ofrecer una alternativa a STIR con un mayor nivel de seguridad en comparaci√≥n con la situaci√≥n actual, se ha introducido el sistema SHAKEN o "Signature-based Handling of Asserted information using toKENs". Todav√≠a no se ha finalizado y, por tanto, no puede discutirse en su totalidad, pero este sistema consiste en a√Īadir informaci√≥n adicional al nombre de la persona que llama presentado al usuario final por el √ļltimo operador SIP capaz de certificar el certificado STIR. As√≠, en la cadena de operadores que gestionan la llamada, el primer operador SIP generar√° el certificado STIR y el √ļltimo operador SIP tendr√° que leer el certificado y a√Īadir "Verificado" o "No verificado" al nombre del llamante presentado al usuario final. Lo que ayudar√° a este usuario a elegir si quiere responder o no.

¬ŅQu√© significa para los operadores de voz?

Para el tr√°nsito de tr√°fico local en pa√≠ses en los que no se aplica el protocolo STIR/SHAKEN no se aplica lo siguiente. Pero como el n√ļmero de pa√≠ses que consideran este marco de identificaci√≥n es cada vez mayor, vamos a ponernos en la piel de los operadores que tienen que cumplirlo. Esto tambi√©n podr√≠a aplicarse pronto a los operadores extranjeros que deseen enviar llamadas a pa√≠ses preparados para STIR/SHAKEN.

1) Poder generar certificados para sus llamadas

Como operador que permite a sus clientes utilizar Dids y generar llamadas, será usted quien inicie el proceso y tendrá que ser capaz de generar el certificado STIR. esto significa que puede tener que registrarse en la autoridad de certificación a la que pertenecen sus Dids. En EE.UU. tienes que registrarte ante el Administrador de Políticas de Identidad Telefónica Segura (STI-PA) que aprueba a los proveedores de servicios de voz para que participen en el marco STIR/SHAKEN. Una vez validado, podrá acceder al repositorio de certificados y generar o leer el certificado STIR. El sistema STIR/SHAKEN está implantado en Estados Unidos desde el 30 de junio de 2021, pero esto no significa que todos los operadores estén preparados para utilizarlo ni que todos los países del mundo vayan a implantarlo pronto, pero a medida que el uso fraudulento de los Dids aumente, cada vez más países lo implantarán en el futuro, por lo que si gestiona Dids en su país es posible que quiera estar al día de las iniciativas locales de STIR/SHAKEN.

2) Ser capaz de llevar los certificados a sus proveedores de interconexión

Si transporta las llamadas de un operador a otro, su trabajo consiste en llevar el certificado junto con la llamada. Si modifica el certificado, la llamada corre el riesgo de ser considerada fraudulenta y rechazada por el operador final. Por lo tanto, le aconsejamos que sea capaz de transferir certificados o, al menos, que esté preparado para hacerlo y que se asegure de que sus socios locales hagan lo mismo, especialmente los que originan las llamadas, que deben ser capaces de proporcionar la certificación adecuada para las llamadas realizadas.

Sin embargo, siguen existiendo muchas situaciones poco claras y preguntas sin respuesta cuando se trata de transportar llamadas certificadas.
Por ejemplo, ¬Ņc√≥mo transportar las llamadas entre dos pa√≠ses que tienen agencias de certificaci√≥n diferentes y, por lo tanto, diferentes depositarios de certificados? ¬ŅSignifica que este marco no se aplicar√° a las llamadas internacionales o que habr√° que estar registrado en todas las agencias de certificaci√≥n nacionales de los pa√≠ses a los que se env√≠an las llamadas?
Hay un principio de respuesta en Estados Unidos con el caso de los operadores extranjeros que tienen Dids estadounidenses. De hecho, la propuesta de la autoridad estadounidense es que el transportista estadounidense y el operador extranjero trabajen juntos para validar la legitimidad de las llamadas y que el transportista estadounidense genere un certificado. Se trata de un proceso personalizado que debe construirse para cada asociación y en cada país, por lo que no es una verdadera solución global.

3) Tenga cuidado con su "reputación" STIR/SHAKEN.

Si est√° proporcionando Dids a los usuarios finales, estar√° literalmente firmando cada llamada con su clave p√ļblica y, por lo tanto, una mayor responsabilidad con respecto a la legitimidad de esas llamadas recaer√° sobre usted. Si permites actividades de suplantaci√≥n o estafa como parte de tu servicio, acabar√°s teniendo tu clave revocada y ya no podr√°s enviar tus llamadas en la red. No querr√° que su clave est√© en la lista negra de la mayor√≠a de los principales operadores nacionales o internacionales. Esto podr√≠a llevarle a replantearse la oportunidad de prestar su servicio a los clientes con el tr√°fico con el que no se siente c√≥modo. Adem√°s, podr√≠a ser un juego muy peligroso empezar a reformar los certificados de las llamadas conocidas como malas a las llamadas "A" con su flamante certificado de proveedor. Porque, aunque puedas tener una buena ganancia a corto plazo o incluso si lo haces para una peque√Īa cantidad de tr√°fico, te arriesgas a una revocaci√≥n de la clave o a la inclusi√≥n en una lista negra por parte de los operadores del punto final, lo que significa poner en peligro todo tu negocio de voz. A decir verdad, este es uno de los principales objetivos de este proceso, ser√° dif√≠cil no conocer la calidad del tr√°fico enrutado. Por lo tanto, la elecci√≥n estar√° del lado del operador y de la operadora, ya sea autorizar el tr√°fico fraudulento o dejar de enrutarlo definitivamente.

Aplicación local del marco STIR/SHAKEN en el mundo

Los Estados Unidos ya han comenzado a aplicar este mecanismo a partir del 30 de junio de 2021 para los grandes transportistas, con una ampliaci√≥n del plazo hasta el 30 de junio de 2022 para los transportistas m√°s peque√Īos. Si usted es un transportista estadounidense y ha perdido el autob√ļs, existen m√ļltiples recursos para ponerse al d√≠a, especialmente el sitio web de las autoridades estadounidenses. Canad√° le seguir√° con una fecha l√≠mite fijada para el 30 de noviembre de 2022. El Reino Unido est√° estudiando la posibilidad de aplicarla tambi√©n despu√©s de la sustituci√≥n completa de la red PSTN en 2025. Francia ha trabajado tanto en una ley para reforzar la supervisi√≥n del marketing telef√≥nico y luchar contra las llamadas fraudulentas (Ley Naegelen) como en una simplificaci√≥n de su pol√≠tica nacional de numeraci√≥n. Esto ha llevado a introducir en la legislaci√≥n un mecanismo para certificar los identificadores de llamadas. Incluso se ha dedicado una gama de Dids m√≥viles para iniciar la implementaci√≥n del sistema, aunque no hay m√°s detalles sobre el marco de implementaci√≥n (Lea nuestro art√≠culo sobre el tema). As√≠ que, en conclusi√≥n, la tendencia es global y tardar√° algunos a√Īos, pero otros pa√≠ses la seguir√°n y es una buena oportunidad para que las compa√Ī√≠as y operadores leg√≠timos mejoren la calidad del servicio de voz local y global y participen en el aumento de la confianza del p√ļblico en el servicio de voz.

D√≠ganos si ve otros aspectos a tener en cuenta en la aplicaci√≥n del STIR/SHAKEN para los operadores y nos aseguraremos de actualizar esta p√°gina para ayudar a otros compa√Īeros operadores. Adem√°s, d√≠ganos cu√°l es su opini√≥n y su experiencia en el uso de este marco. Estaremos encantados de debatir con usted.

European Telcos

¬ŅQu√© tal un proyecto personalizado?

Hable con nuestro equipo de ventas: sales@cantoo.co

¬ŅTienes una solicitud legal?

Envía un correo electrónico a requisition@cantoo.co

¡Manténgase conectado!

LinkedIn