El problema de las llamadas automáticas es tan grave que la FCC realmente hizo algo
«Hola, hemos estado tratando de comunicarnos con usted acerca de la garantía extendida de su automóvil». Después de años de llamadas automáticas fraudulentas aparentemente imparables, esta frase está incrustada en la mente de muchos de nosotros. El mes pasado, la Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) anunció que ordenaría a los proveedores de telefonía que bloquearan cualquier llamada proveniente de una estafa de llamadas automáticas automáticas conocida, lo que ofrece la esperanza de que los usuarios de teléfonos de EE. UU. puedan escuchar esa voz automatizada demasiado familiar con un poco menos de frecuencia.
Pero se requiere más trabajo para tomar medidas enérgicas contra estas llamadas. Después de todo, las advertencias de garantía del automóvil son solo un tipo de estafa. Para comprender cómo se comunican con nosotros los robocallers y por qué es tan difícil detenerlos, Científico americano habló con Adam Doupé, un experto en ciberseguridad de la Universidad Estatal de Arizona.
[An edited transcript of the interview follows.]¿Qué tan grande es el problema de las llamadas automáticas en los EE. UU.?
Creo que es difícil envolver nuestra cabeza alrededor de la escala. Podemos ver pruebas sólidas de las quejas que los consumidores envían a la FCC, pero esas son solo personas que realmente se quejan. La FCC afirma que una operación de estafa de garantía de automóviles es responsable de generar más de ocho mil millones de mensajes de llamadas automáticas desde 2018, eso es simplemente asombroso. Eso es dos mil millones al año de una campaña. Las empresas están enviando miles de millones de mensajes, y eso te afectará inherentemente; obtendrá de uno a tres al día.
Muchos de estos son realizados por empresas que venden productos reales. Simplemente están utilizando una campaña de marketing ilegal para que los consumidores compren esos productos. Eso es distinto de las llamadas automáticas que intentan personas objetivo para el fraude: la llamada automática automática es el señuelo de marketing para atrapar a alguien, luego se transfieren a una persona real que los está estafando con dinero.
¿Por qué nadie ha podido detener las llamadas automáticas hasta ahora?
Las llamadas automáticas son un gran problema porque son baratas de hacer. Son muy efectivos porque son muy baratos y pueden llegar a muchas personas. La otra cosa que los delincuentes deben tener en cuenta es: ¿Cuál es la probabilidad de… quedar atrapados en esta actividad delictiva? El número de eso fue sorprendentemente bajo durante mucho tiempo.
Las personas que llaman spam están cambiando el identificador de llamadas que aparece en su teléfono a un número [with an area code] eso está cerca de ti, y eso es ilegal. La pregunta para mí siempre es «¿Cómo es que pueden simplemente cambiar su número?» Eso parece un poco loco, ¿verdad? Haces una llamada telefónica, tu proveedor (AT&T, Verizon, lo que sea) conoce tu número de teléfono. ¿Cómo podría aparecer otro número allí? La forma en que solía estar diseñado es que el campo de identificación de llamadas era esencialmente opcional, por lo que nadie lo había verificado en ninguna parte de la cadena. Las redes se volvieron más complejas: acaba de entrar una llamada telefónica y nadie está revisando para decir: “Oh, espera, ¿quién está originando esta llamada? ¿Es realmente el mismo número? En realidad tiene un propósito. Una gran empresa no necesariamente quiere que nadie externo conozca los números de teléfono de nadie interno. Por lo que cambia el identificador de llamadas para que el número que aparece sea el número general de la empresa.
La otra cosa para recordar es que el sistema telefónico se creó entre partes confiadas: todas las compañías telefónicas se conocían entre sí. Pero a medida que la tecnología mejora y las empresas más pequeñas se conectan a las redes telefónicas…, existen estas partes no confiables en la red que esencialmente están causando muchos de estos problemas.
¿Cómo aborda actualmente la FCC las llamadas automáticas?
Hay un protocolo que se creó llamado STIR/SHAKEN, [or secure telephony identity revisited/signature-based handling of asserted information using tokens, which the FCC began requiring in 2021]. Agrega un campo cuando realiza una llamada de voz que dice: «Soy esta entidad y he verificado la identificación de la persona que llama». Esto permite que cualquiera que esté transmitiendo esa solicitud mire el mensaje de encabezado y diga: «Está bien, puedo verificar con criptografía que sí, este es realmente el autor». [of the call].”
Ahora el problema es si entra una llamada de un VoIP [voice-over-Internet protocol] proveedor en el extranjero. ¿Cómo verifica el operador estadounidense ese número de teléfono? Lo que ha hecho la FCC es crear este sistema donde tiene un Base de datos de mitigación de llamadas automáticas. Las empresas estadounidenses que actúan como puntos de conexión entre VoIP extranjero y otros servicios telefónicos deben registrarse y decir: «Estos son los pasos que estamos tomando para verificar estos [overseas] números de teléfono.» los [U.S.] Los proveedores de telefonía ahora pueden eliminar el tráfico de proveedores que no siguen estos estándares. La FCC en realidad ordena a las empresas que bloqueen [the known auto warranty] llamadas de estafa de robocall.
Por lo tanto, STIR/SHAKEN no es una defensa contra las llamadas automáticas en sí. Es una defensa contra el cambio de identificador de llamadas, que es una parte importante de estas estafas.
¿Qué otras técnicas se pueden usar para detectar y prevenir las llamadas automáticas?
Lo que probablemente usaría es algún tipo de detección de patrones basado en: ¿De dónde provienen estas llamadas? ¿Cuál es el número de veces que la gente responde o no a esta llamada? ¿Cuál es la duración de las llamadas? Todo este tipo de cosas [matter] mientras intenta identificar tantas características diferentes como sea posible que separen las buenas llamadas de las malas llamadas. Recuperar la confianza en el identificador de llamadas es muy importante.
También puede configurar números de teléfono falsos, en términos de ciberseguridad, un honeypot. Creas números falsos que no le das a nadie, por lo que cualquier llamada telefónica a esos números no es deseada. Podría usar algún sistema automatizado para contestar las llamadas, escuchar la grabación, luego tal vez tenga un sistema humano o automatizado tratando de tomar una determinación: ¿Es esto una estafa o una llamada automática? Y luego podría usar eso para retroalimentar sus sistemas de detección.
Creo que los desincentivos harán que las empresas digan: «Como empresa legítima, no deberíamos hacer esto». Hubo una multa de $ 225 millones a los vendedores telefónicos de seguros de salud con sede en Texas que realizaron alrededor de mil millones de llamadas automáticas. Puede ver una combinación de medidas técnicas y políticas diseñadas para tratar de cerrar estas lagunas. ¿Eso va a detener a los delincuentes ubicados en otros países que intentan defraudar a las personas? Probablemente no. Una cosa que podríamos hacer es encarecer el costo de hacer mil millones de llamadas. Tengo la esperanza de que esto ayudará a detener la marea.
¿Qué hay de detener otras formas en que los estafadores se dirigen a las personas?
La clave cuando estudias el delito cibernético es que los humanos son muy resistentes para encontrar nuevas formas de cometer delitos. [If calls become more expensive], la otra opción es que los estafadores cambien a otras plataformas, lo que ya estamos viendo. Cambiarán a enviar mensajes de WhatsApp o spam de Twitter. Creo que esa es una situación mejor. Si eres la compañía telefónica, no sabes lo que se va a decir cuando alguien conteste esa llamada. Tienes patrones en la red y sabes de dónde vino, pero fundamentalmente, no tienes el contenido de la estafa. Con un mensaje de texto, tienes ese contenido. El problema se vuelve más similar al spam de correo electrónico. Si usa algo como Gmail, las capacidades de detección de spam son tan buenas que tal vez reciba un mensaje al mes allí.
Fundamentalmente, en este momento, es difícil confiar en tu teléfono cuando suena. Creo que un mundo en el que podamos volver a confiar en las llamadas telefónicas, o tal vez estar emocionados de recibirlas y no solo [be] como, «Oh, alguien va a tratar de estafarme»—es un mundo mejor. Y creo que poco a poco lo estamos consiguiendo.