Lucha contra la suplantación de identidad del identificador de llamadas

La suplantación de identidad del identificador de llamadas se ha convertido en una de las formas más comunes de fraude en telecomunicaciones, permitiendo a estafadores, robocallers y actores maliciosos ocultar su identidad y engañar a los usuarios para que respondan llamadas no deseadas o peligrosas. En 2025, se seguirían realizando miles de millones de llamadas suplantadas en todo el mundo cada año, lo que supone miles de millones de dólares en pérdidas para consumidores y empresas y erosiona la confianza en el sistema telefónico.

La suplantación de identidad de llamada ocurre cuando quien llama manipula el campo “From” o “Caller-ID” en la señalización SIP (Protocolo de Iniciación de Sesión) o SS7 para mostrar un número falso, generalmente un número local de confianza, un banco o una agencia gubernamental. Esto explota la confianza que los usuarios depositan en números conocidos, lo que da lugar a phishing (vishing), estafas del IRS, fraude bancario y estafas de un solo timbre. Las defensas tradicionales, como las bases de datos CNAM (Nombre de la persona que llama) y las aplicaciones de bloqueo de llamadas, son reactivas y fáciles de eludir, por lo que una solución criptográfica a nivel de red es esencial.

Actualidad

Los operadores móviles estadounidenses modernos utilizan una combinación de su red central LTE y la infraestructura IMS (Subsistema Multimedia IP) para implementar el filtrado de llamadas en tiempo real. En el Núcleo de Paquetes Evolucionados (EPC) LTE, componentes como la Entidad de Gestión de Movilidad (MME) y el Servidor de Suscriptor Local (HSS) sientan las bases para la conectividad y los datos de los suscriptores. El MME es el nodo principal del plano de control en el EPC, que gestiona la conexión de usuarios, la movilidad y la configuración de sesiones. El HSS es una base de datos centralizada de perfiles de suscriptores (incluidas las suscripciones y configuraciones de servicios) y también gestiona la autenticación y autorización de los suscriptores. Estos elementos centrales garantizan que el dispositivo del usuario sea accesible para las llamadas entrantes (por ejemplo, el MME coordina la búsqueda del dispositivo y la configuración del portador cuando llega una llamada) y que el dispositivo esté registrado en el IMS para el servicio de voz. La arquitectura IMS/VoLTE se asienta sobre el EPC y gestiona la señalización de llamadas y los medios sobre IP. Los componentes clave de IMS incluyen las Funciones de Control de Sesión de Llamada (CSCF), en particular el Servicio CSCF (S-CSCF), que conoce la suscripción del usuario y determina qué servicios de aplicación se aplican a sus llamadas. Cuando un suscriptor recibe una llamada VoLTE, el S-CSCF (junto con el HSS) enruta la llamada al dispositivo del usuario y puede invocar servidores de aplicaciones según su perfil. Esto es fundamental para el etiquetado de llamadas: el operador puede configurar un Servidor de Aplicaciones de Telefonía (TAS) de IMS para realizar el filtrado de spam como parte de la configuración de la llamada. En resumen, el núcleo LTE/EPC (MME, HSS, etc.) proporciona la infraestructura (conectividad, ubicación e información del suscriptor) que permite a la red de voz IMS entregar llamadas y aplicar servicios como el etiquetado de estafas en tiempo real.

Afortunadamente, la industria ha respondido con STIR/SHAKEN, un sólido marco de trabajo diseñado para autenticar la identidad de la persona que llama y combatir la suplantación de identidad en tiempo real. Este blog explica el funcionamiento técnico de STIR/SHAKEN, cómo se etiquetan las llamadas durante su tránsito y qué elementos de red de la infraestructura central de un operador de red móvil (ORM) gestionan este proceso.

Autenticación de identificación de llamadas STIR/SHAKEN

Para evaluar la validez del identificador de llamadas entrantes, los operadores estadounidenses utilizan el marco STIR/SHAKEN junto con su procesamiento de llamadas IMS. STIR/SHAKEN es un sistema estándar de la industria diseñado para combatir la suplantación de identidad del identificador de llamadas, al exigir a los operadores que firmen y verifiquen criptográficamente los números que llaman. En la práctica, cuando se origina una llamada, el proveedor de servicios de origen adjunta un certificado digital (firma) a la señalización SIP de la llamada que atestigua la identidad del llamante. El operador de terminación (por ejemplo, el operador móvil que recibe la llamada) ejecuta esto a través de un servicio de verificación para garantizar que la firma sea válida y que el número no haya sido suplantado. Esencialmente, esto actúa como un pasaporte digital para la llamada, y el operador asigna un nivel de atestación que indica cuán seguro está de la identidad del llamante. Por ejemplo, la Certificación Completa (A) significa que el operador de origen conoce al cliente y que está autorizado a usar ese número (alta confianza), mientras que la Certificación de Puerta de Enlace (C) significa que la llamada provino de una fuente desconocida o externa y no se puede verificar. STIR/SHAKEN ha sido exigido por la FCC para operadores de EE. UU. (desde el 30 de junio de 2021) como una capa fundamental para validar la legitimidad de la persona que llama en tiempo real. Una llamada que pasa la validación STIR/SHAKEN con certificación completa tiene menos probabilidades de ser fraudulenta, mientras que una llamada sin firma válida o con una certificación baja (por ejemplo, nivel “C” de una fuente desconocida) levanta sospechas. Este resultado de verificación se introduce en la lógica de detección de spam del operador. En resumen, STIR/SHAKEN se gestiona dentro de la red del operador (a menudo en puertas de enlace fronterizas IMS o controladores de sesión SIP) y proporciona una verificación en tiempo real de la autenticidad del identificador de llamadas, que es un dato para determinar si una llamada debe etiquetarse como “Probable Estafa”.

• STIR (Secure Telephone Identity Revisited) es un estándar IETF (RFC 8224, RFC 8588, etc.) que define un mecanismo para firmar y verificar criptográficamente la identidad de la parte que llama.
• SHAKEN (Secure Handling of Asserted information using toKENs) es la implementación de STIR por parte de ATIS (Alianza para Soluciones de la Industria de las Telecomunicaciones), diseñada específicamente para operadores estadounidenses y exigida por la FCC desde 2020 (con plena vigencia para 2023). SHAKEN amplía STIR al definir reglas operativas, autoridades de certificación y marcos de confianza para la implementación entre operadores.

Juntos, STIR/SHAKEN proporcionan autenticación de llamadas de extremo a extremo adjuntando un token firmado digitalmente a las llamadas SIP, lo que permite que la red de terminación verifique la autenticidad de la llamada y asigne un nivel de certificación (A, B o C) que indica cuánta confianza tiene la red de origen en la identidad de la persona que llama.

Cómo STIR/SHAKEN etiqueta las llamadas en tiempo real

El proceso ocurre durante el establecimiento de la llamada en la ruta de señalización SIP, con una latencia mínima (normalmente <50 ms). El flujo técnico es el siguiente:

1. Firma de red de origen (autenticación de llamada)
   • La llamada se origina desde una troncal de cliente o empresa.
   • El proveedor de servicios de origen (OSP) autentica al llamante:
     • Para clientes verificados (por ejemplo, líneas de negocio registradas): Certificación completa (nivel A).
     • Para puertas de enlace conocidas o troncales no autenticadas: certificación parcial (nivel B) o de puerta de enlace (nivel C).
   • El servicio de firma del OSP (a menudo un servidor STIR/SHAKEN dedicado o integrado en el SBC) genera un encabezado de identidad que contiene:
     • Un token web JSON (JWT) firmado con la clave privada del proveedor.
     • El número de la persona que llama (TN), el número llamado, la marca de tiempo y un identificador de llamada único.
     • Un nivel de certificación (A/B/C) y un identificador de origen.
   • El token firmado se inserta en el mensaje SIP INVITE como un encabezado de identidad (según RFC 8224).
2. Transporte entre transportistas
   • La llamada atraviesa interconexiones IP (troncales SIP) o puertas de enlace PSTN.
   • Los transportistas intermedios pueden agregar encabezados de pasaporte (encabezados de identidad adicionales) si realizan su propia verificación/firma, creando una cadena de confianza.
3. Terminación de la verificación de red
   • El proveedor de servicios de terminación (TSP) recibe el SIP INVITE con encabezados de identidad.
   • El servicio de verificación (generalmente integrado en el SBC de terminación o en un servidor de políticas dedicado) valida el token:
     • Comprueba la firma utilizando la clave pública del repositorio de Política de Identidad Telefónica Segura (STI-P).
     • Verifica la cadena de certificados (emitida por una autoridad de certificación confiable como ComsignTrust o Iconectiv).
     • Confirma que la marca de tiempo es reciente y que el identificador de la llamada coincide con la identidad declarada.
   • Si es válido, a la llamada se le asigna un estado verificado (por ejemplo, “A” para plena confianza).
   • Si no es válida o falta, la llamada puede marcarse, bloquearse o marcarse como “falsificada” (se muestra al usuario final como “Riesgo de spam” o similar).
4. Pantalla del usuario final
   • En los teléfonos compatibles (Android 9+, iOS 14+ con soporte del operador), la aplicación o el sistema operativo que finaliza la llamada muestra indicadores como una marca de verificación verde, “Llamada verificada” o íconos de advertencia según el nivel de certificación.

Esta firma y verificación se realizan en tiempo real durante la configuración de la llamada (dentro del tiempo de timbre de 3 a 5 segundos), lo que hace que sea sencillo para los usuarios.

Plataformas de red móvil que administran STIR/SHAKEN

STIR/SHAKEN está integrado en el núcleo IMS (Subsistema Multimedia IP) de los operadores de redes móviles modernos. Sus elementos clave incluyen:

• Controlador de borde de sesión (SBC): El punto principal de firma (origen) y verificación (finalización). Los SBC como Oracle, Ribbon o Cisco integran módulos STIR/SHAKEN.
• Servidor de aplicaciones (AS) / Servidor de aplicaciones de telefonía (TAS): Maneja decisiones de políticas, asignación de certificación y enrutamiento de llamadas según los resultados de la verificación.
• STI-PA (Administrador de políticas de identidad telefónica segura): Administra el ciclo de vida de los certificados y los anclajes de confianza (a menudo subcontratados a proveedores como TransNexus o Neustar).
• HSS/UDM (Servidor de suscriptores domésticos/Gestión unificada de datos): Almacena datos de suscriptores que ayudan a determinar el nivel de certificación (por ejemplo, empresarial o residencial).
• PCRF/PCF (Función de políticas y reglas de cobro): Aplica políticas como bloquear llamadas no verificadas o aplicar etiquetas de spam.
• Interconectar proveedores SBC/IPX: Gestionar la firma/verificación entre operadores cuando las llamadas cruzan redes.

En las redes 5G, el núcleo IMS (con 5G-IMS) admite de forma nativa STIR/SHAKEN, y la función de exposición de red (NEF) puede exponer el estado de verificación a aplicaciones de terceros.

Estado actual y perspectivas futuras

A principios de 2026:

• Estados Unidos tiene una adopción casi universal (la FCC exige una cobertura del 100% para los principales operadores).
• Canadá, el Reino Unido, Francia, Alemania y otros países han implementado o impuesto marcos similares (a menudo llamados STIR o SHAKEN).
• Aún quedan desafíos: Llamadas internacionales, redes TDM heredadas y actores maliciosos que suplantan datos dentro de troncales confiables.
• Futuro: Integración más profunda con el núcleo 5G, detección de anomalías basada en IA y marcos de confianza globales (por ejemplo, STIR basado en IPX de GSMA).

Conclusión

STIR/SHAKEN representa un avance significativo en la restauración de la confianza en la red telefónica mediante el etiquetado criptográfico de llamadas en tiempo real. Si bien su adopción global está en curso, la base técnica —basada en elementos centrales de IMS como SBC, AS y funciones de políticas— proporciona una defensa escalable y basada en estándares contra una de las formas más perjudiciales de fraude en telecomunicaciones.

Si está buscando soluciones para combatir la suplantación de identidad (Spoofing) del identificador de llamadas, ya sea mediante la implementación de STIR/SHAKEN, el fortalecimiento de la red, herramientas de prevención de fraude o estrategias innovadoras contra la suplantación de identidad, le invitamos a considerar a Hacom Technologies como su socio de confianza. Con una amplia experiencia en seguridad de las telecomunicaciones y un compromiso genuino con la protección de usuarios y operadores, estamos listos para apoyarle en cada paso del proceso. ¡Contáctenos hoy mismo y construyamos juntos una experiencia de llamadas más segura!