En anteriores posts sobre fraude telefónico, ya hemos hablado del fraude por voz mediante suplantación del número llamante. Además, en otro post también hemos profundizado en las soluciones actuales para mitigar este tipo de fraude y en la responsabilidad de los operadores de telefonía a la hora de combatirlo. En este artículo vamos a analizar el marco legislativo español, que dicen la CNMC al respecto de este tipo de fraude y qué iniciativas existen en Europa

Cuando hablamos del sector de las telecomunicaciones nos encontramos con un sector altamente regulado debido a su carácter de servicio público básico. En España el marco general legislativo se establece en la Ley General de Telecomunicaciones que ha sido recientemente modificada (acerca de la cual también tenemos un post en el blog).

Haciendo zoom al desarrollo legislativo específico en temas de numeración y modificación de la identidad del número llamante existen dos fuentes normativas fundamentales:

• El Real Decreto 2296/2004 ,de 10 de diciembre. En el que, entre otros temas, se establece el marco de recursos públicos a emplear en España en términos de numeración y el desarrollo del plan nacional de numeración.
• El Real Decreto 424/2005, de 15 de abril. Que en su sección 3ª del capítulo 1º del Título V establece las condiciones y obligaciones para modificar la identificación de la línea llamante.

En observancia de estas dos normas, podemos concluir que la modificación del CLI (Calling ID) está normativamente aceptada. De hecho es un servicio que es ampliamente empleado por contact centers ya que permite mostrar al cliente final el número de teléfono de contacto de la empresa en lugar de la extensión específica del agente o el número saliente del contact center.

El cambio del número de identificación de una llamada en redes IP es un proceso sencillo y como se mencionó anteriormente, completamente legal y además, de utilidad para muchas empresas y usuarios. Sin embargo, esta funcionalidad también permite a usuarios ilegítimos modificar este ID de llamada con fines fraudulentos. En este caso un delincuente puede hacerse pasar por trabajador de una empresa y, de cara al usuario final no existe ninguna herramienta que le permita diferenciar si el llamante es legítimo o no.

Desde una perspectiva legal, existe un real decreto, el 381/2015, que establece normas para combatir este uso indeseable de la capacidad de modificación de la identidad del número llamante. En sus artículos 2 y 3, el real decreto establece límites en lo relativo a lo que se considera tráfico irregular y fraudulento. En específico, en el apartado 2.3 se considera tráfico de carácter fraudulento aquel “que hace un uso indebido de la numeración el que tenga origen o destino en recursos públicos de numeración de los planes identificados”. Es decir, si un delincuente emplea un CLI de forma indebida este tráfico podría considerarse fraudulento. Además, en virtud del artículo 5, el proveedor de servicio tiene la obligación de bloquear ese tráfico.

Nos encontramos pues con un requisito indispensable para poder bloquear el tráfico; y es que el operador tenga la capacidad de diferenciar entre tráfico irregular y fraudulento o tráfico legítimo. En este aspecto la norma también establece obligaciones, específicamente en su artículo 4, por el que todos los operadores deben identificar el tráfico originado en sus redes y bloquear el tráfico no permitido.

Pero si los operadores deben comprobar el tráfico en origen, ¿Cómo es posible que el usuario final reciba tráfico ilegítimo? La clave para la respuesta radica en que la ley no establece ninguna obligación de identificar el tráfico cuando proviene de interconexión entre operadores. De este modo si algún operador envía tráfico irregular a otro operador, este último no siempre es capaz de identificar el tráfico y lo envía al usuario final.

Debido a la incertidumbre alrededor de este tema, desde Quobis realizamos una consulta al órgano competente en esta materia, la Comisión Nacional de los Mercados y la Competencia. En su respuesta, la CNMC además de poner el foco en las obligaciones por parte del operador de detectar el tráfico irregular y fraudulento, hace un comentario relativo al incremento de las prácticas de fraude empleando CLI spoofing en nuestro país y en Europa.

Así pues, la CNMC está haciendo un seguimiento muy de cerca de las distintas iniciativas que se están llevando a cabo dentro del conjunto de la Unión Europea (como se puede ver en el Informe 338 de la ECC (Electronic Communications Committee). Dentro de estas iniciativas cabe destacar el caso de Francia que es el primer estado europeo en promulgar legislación al respecto (conocida como Ley Naegelen) y que obligará desde junio de 2023 a los operadores principales a bloquear el tráfico no verificado y al resto de operadores de menor tamaño de forma progresiva en los años siguientes.

En cualquier caso, a corto plazo no se esperan grandes cambios en este tema en España. De hecho, si analizamos las iniciativas legislativas de países que ya han atacado este problema se puede ver que el horizonte temporal para adoptar medidas técnicas (como puede ser el protocolo STIR/SHAKEN) que ayuden a evitar este tipo de fraude superan los dos años y siempre se realizan de forma escalonada dependiendo del tamaño del operador.

Desde Quobis damos soluciones para hacer tus comunicaciones más seguras. Así que si tienes cualquier pregunta acerca de la legislación actual y qué soluciones existen y se pueden aplicar a día de hoy no dudes en ponerte en contacto con nosotros.