En Quobis, siempre hemos sido muy conscientes del riesgo que supone la suplantación de identidad en el canal voz (voice spoofing).

En el año 2011 y fruto de un proyecto de I+D llamado SecVoID, generamos un solución llamada IdentityCall que estaba basada en la inserción de certificados digitales de carácter personal como parte de las cabeceras SIP. En esencia, para poder cursar una llamada tenías que disponer de ese certificado (como puede ser el que acompaña al Documento Nacional de Identidad) que permitía asegurar al usuario final que el llamador estaba identificado en la red..

Posteriormente, y en una iniciativa conjunta del regulador FCC y de la asociación de prestadores de servicio ATIS, se generó un protocolo y arquitectura llamado STIR/SHAKEN:

• STIR (Secure Telephony Identity Revisited) es el protocolo estandarizado por el IETF, que define una firma para verificar el número llamante, y especifica cómo será transportado como un campo en el cabecera de los paquetes SIP.
• SHAKEN (Signature-based Handling of Asserted information using toKENs) es la arquitectura definida por el ATIS y el SIP Forum para proveer una implementación de STIR para proveedores de servicio.

Desde el punto de vista del operador, cumplir con el protocolo STIR/SHAKEN requiere adaptar su infraestructura de red. Para soportar la inserción de campos con certificados, intercambiar las claves con operadores y validar con la autoridad de certificación que se designe en cada país existen dos opciones:

• El uso de elementos de red propietarios como SBCs.
• Emplear soluciones Open Source como Kamailio.

Cada llamada recibe una valoración en origen conforme al grado de autenticación del que se disponga, indicando si hay la certeza absoluta, si está validado el origen, pero no la persona (p.e. en numeración corporativa, donde conoces sólo la empresa que lo origina) o cuando hay un origen sospechoso (como es el caso de las llamadas recibidas vía trunks internacionales).

Además, los operadores pueden usar este protocolo para proveer información al cliente final, como puede ser una indicación visual de que la llamada está verificada, facilitar el logo o nombre de la empresa que llama (si no lo tienes en la agenda local) o incluso permitiendo mostrar el motivo de la llamada si esa información ha sido facilitada en origen.

Para la adopción de este protocolo es necesario y fundamental un marco legislativo que permita a las operadoras bloquear tráfico. Por ello, hay gobiernos que tras considerar STIR/SHAKEN como la posible solución a esta amenaza de robo de identidad por voz, han aprobado legislación para obligar a los operadores del país a emplear este protocolo de autenticación.

Con el fin de aumentar la seguridad de sus ciudadanos en materia de fraudes por comunicaciones de voz algunos países cómo EEUU, Canadá y Francia han promulgado legislación al respecto y otra docena de países están contemplando cómo implementar estos protocolos.

Por ahora no existe ningún tipo de propuesta equivalente en Europa (salvo Francia) ni en países de Latinoamérica. Sin embargo, es esperable que en los próximos años se comiencen a ver iniciativas legislativas alrededor de este tema, ya que se espera que cada vez sean más frecuentes este tipo de ataques.

Es especialmente relevante el incentivo de los ciberdelincuentes a realizar este tipo de ataques en aquellos países en los que les sea más sencillo operar. De este modo, existe un incentivo en implementar medidas de verificación de identidad cuanto antes para evitar una sobreexposición a estos riesgos.