Hace unas semanas, explicábamos que bancos y operadoras estaban en negociaciones para implementar medidas que paliasen el actual auge de las estafas telefónicas y vía SMS que recurren a diversas técnicas para suplantar a entidades legítimas (haciéndose pasar por administraciones públicas, bancos y empresas de mensajería, principalmente).
Ahora, a la vista de la amenaza que esta tendencia constituye para la integridad financiera de los españoles, el Ministerio de Transformación Digital, ha lanzado una 'consulta pública' (PDF) para recoger opiniones sobre qué medidas técnicas adoptar.
Cuando los estafadores recurren a esta práctica, conocida como 'spoofing telefónico' (también existe spoofing aplicado a correos electrónicos), realizan una llamada o envío de un mensaje de texto al móvil de la víctima para parte de un emisor que se hace pasar por una entidad de confianza, con el objetivo de convencerle de proporcionar información personal y financiera confidencial.
El spoofing en llamadas
Pero, ¿cómo logran hacerse pasar por una entidad de confianza hasta el punto de que sus víctimas no dudan a la hora de ceder dichos datos? Fácil: logrando que el número de teléfono que aparece en la pantalla coincida con el de la entidad en cuestión. Así pueden permitirse incluso el lujo de animar a su interlocutor a buscar en Google el número de teléfono.
Este engaño pueden ejecutarlo recurriendo a métodos sofisticados como la manipulación del identificador de llamadas (o CLI, de 'Calling Line Identification').
Eso puede desembocar en casos dramáticos, como la familia que perdió todos sus ahorros durante las últimas navidades después de que el estafador que les estaba llamando en nombre del banco ING le animó a "buscar en Internet el teléfono desde el que le estoy llamando" y la víctima comprobó que éste coincidía con el de la sucursal de ING de la calle O’Donnell de Madrid: "Desde ese momento no dudé".
El spoofing en SMS
La estafa de spoofing aplicada a los SMS es tremendamente efectiva porque el mensaje falso se muestra en el mismo hilo que los mensajes legítimos previamente recibidos desde el banco, lo que puede confundir fácilmente a la víctima y hacerle creer que el mensaje es auténtico.
Pero hacer esto ni siquiera requiere habilidades avanzadas de hacking, ya que se trata de una tecnología antigua e insegura y existen múltiples plataformas online que ofrecen este servicio:
Es tan sencillo como poner el texto que quieras en el campo del remitente: 'MIN.HACIENDA', 'BBVA'... pues no hay comprobación de que quien está mandado el mensaje tenga ninguna vinculación con la entidad del mismo nombre.
¿Qué ha puesto el Ministerio sobre la mesa?
Entre las propuestas se incluyen medidas como...
- Recurrir a una base de datos única para controlar el uso de nombres y códigos alfanuméricos en mensajes SMS (lo cual permitiría, por ejemplo, que sólo el BBVA pudiera firmar SMS como 'BBVA').
- El bloqueo de llamadas con origen en el extranjero, pero que usen un identificador de llamada español (una práctica común en los call centers que algunas empresas españolas contratan en Iberoamérica o en Marruecos).
- Crear un rango de numeración específico para llamadas comerciales, lo que facilitaría su identificación y bloqueo.
- Crear listas de numeraciones sin uso para evitar su empleo en estafas.
- Inspirarse en iniciativas internacionales como STIR/SHAKEN para aumentar la fiabilidad del CLI mediante la verificación de la información entre operadores.
- Implementar listas DNO (Do Not Originate) para numeraciones que sólo deberían recibir llamadas, no realizarlas.
Igualmente, la consulta también aborda medidas que afectarían a Internet, como la posibilidad de implementar medidas para el bloqueo de páginas web utilizadas en estafas (como las que existen desde hace años para ciertas webs de descargas de material con copyright), sugiriendo procedimientos de retirada y bloqueo más efectivos y la creación de listas negras de URLs.
Ver 0 comentarios