Branded calling y su cadena de valor

PorIago Fernández González

La cadena de valor de las llamadas con marca comercial, es relativamente compleja, ya que agrupa dos procesos claves:

  • Autenticación y verificación del llamante.
  • Presentación de contenido de marca verificado.

En ambos procesos es necesaria la colaboración entre los diferentes actores que forman parte de un ecosistema de confianza que se despliega en una doble dimensión:

  • Componente técnica: definiendo una serie de estándares compartidos entre las partes implicadas, que configuren una arquitectura estable y confiable para ofrecer el servicio.
  • Componente de negocio: con roles claramente definidos, en los que cada actor tenga asignadas tareas específicas y conocidas por el resto dentro de la cadena de valor: autoridades certificadoras, vetting, onboarding…  

Branded calling y autenticación de llamadas son cosas diferentes.

A pesar de ser realidades estrechamente relacionadas, es importante señalar que persiguen objetivos diferentes:

  • Autenticación de llamadas: su objetivo es garantizar que dentro de la red, el llamante tiene un origen conocido y que este no ha sido manipulado desde su origen hasta su entrega al usuario final.
  • Branding: persigue identificar a la empresa que realiza la llamada. 

Aunque algunos de los frameworks más populares (STIR/Shaken, CHAKEN…) hacen uso de certificados de terceros emitidos por “autoridades certificadoras centralizadas” (similar a la emisión de un pasaporte por parte de un Gobierno) , existen otros mecanismos de verificación del llamante que emplean estrategias diferentes: como por ejemplo sistemas de autenticación bidireccional (como el CIV); o soluciones descentralizadas como  VVP (Verifiable Voice protocol) basadas en ACDC (Automatic Credential Chain) que permiten crear cadenas de credenciales asociadas a diferentes registros comprobables (como un blockchain, un registro público, una base de datos auditada…), de manera que el emisor de las credencial decide qué información y qué “testigos” presenta para sus afirmaciones.  También podemos incluir en esta comparación las APIs de Telecomunicaciones que propone CAMARA, y que están siendo adoptadas por diferentes operadores, como por ejemplo APIs de verificación de numeración, cuya estrategia pasaría por generar un evento paralelo a la llamada para validar el número llamante dentro de la red del operador.

Estos cuatro ejemplos de frameworks de autenticación, nos permiten deducir que las estrategias de branded calling están condicionadas por la autenticación de las llamadas, requiriendo adaptaciones específicas para cada caso. También dejan meridianamente claro que el desafío de la autenticación de llamadas y el branded calling han sido tradicionalmente abordados por separado, y que es necesario un esfuerzo extra para vincular ambos procesos en una solución de branding garantice que sólo la marca puede hacer llamadas en su nombre.

Modelo basado en certificados de terceros compartidos para autenticación y branding calling: STIR/SHAKEN + RCD

En este artículo analizaremos los principales procesos tomando como referencia el ecosistema de Branded Calling ID del CTIA, que es a día de hoy el modelo más desarrollado. Este modelo se basa en STIR/SHAKEN como solución de autenticación de llamadas basado en certificados; la extensión RCD (Rich call data) para el transporte de la información de marca;  y en un ecosistema promovido desde la propia industria para la gestión, verificación y presentación de la imagen de marca de las empresas en sus llamadas.

Fundamentos del ecosistema

Si bien la mejora de los procesos de autenticación/verificación de llamadas están contando con un notable apoyo de las instituciones públicas responsables de la regulación del mercado de telecomunicaciones, no sucede lo mismo con el branded calling. 

Si el branded calling ha logrado cierta penetración, ha sido principalmente por el empuje de organismos privados y asociaciones sectoriales, que han recogido una demanda latente del mercado para generar un nuevo producto.

Los reguladores no suelen definir estándares tecnológicos hasta ahora 

Lo cierto, es que por lo general las autoridades regulatorias, han evitado posicionarse en el empleo de un framework tecnológico concreto, y en ese sentido STIR/Shaken es una excepción a esta regla no escrita. Otra excepción a la neutralidad tecnológica en la lucha contra el fraude telefónico sería la participación de la Ofcom británica en el diseño de la base de datos común de numeraciones que está promoviendo. Esta posición intervencionista ha sido criticada por limitar el acceso a soluciones tecnológicas superiores, pero es cierto que un marco legal que contribuya a facilitar la interoperabilidad entre los diferentes actores, es una ventaja operacional nada despreciable.

Si atendemos a otros mercados fuera de USA, vemos que los reguladores tienden a promover objetivos de lucha contra el spam o el fraude telefónico, cuyo objetivo es evitar que este alcance al consumidor final. Frente a esto, el valor que aporta una branded call reside en identificar positivamente al llamante, no evitar que alguien llame en su nombre. 

Nos es descabellado identificar al branded calling como una herramienta de lucha contra el spam telefónico y el fraude, pero a día de hoy los reguladores no han puesto sobre la mesa esa estrategia de identificación visual del llamante, a excepción de China y su framework CHAKEN.

La colaboración sectorial es irrenunciable

Lo que haya permitido a la CTIA, que representa a la industria de las comunicaciones  inalámbricas en USA, imponer su solución en el mercado EEUU no es otra cosa que la implicación de importantes actores del sector: principales operadores de telefonía, proveedores tecnológicos, proveedores de soluciones de branded calling… y también haberse sabido apoyar en la base creada por la FCC al promover el empleo de STIR/SHAKEN como framework de autenticación para todo el país. 

Trusted third party model

Estamos ante un modelo que delega la confianza en un tercero en el que todos confían. De hecho son dos agentes principales de confianza:

  • Por una parte la STI-CA, o autoridad certificadora del framework STIR/SHAKEN, que es la encargada de repartir los certificados con los que se generarán las firmas empleadas durante el proceso de autenticación y verificación. En US existen aproximadamente una decena de autoridades certificadoras que dependen a su vez de una única STI-PA (Secure Telephone Identity Policy Administrator), que es una entidad privada (Iconectiv); que a su vez es seleccionada y aplica las reglas definidas por una STI-GA (Secure Telephone Identity Governance Authority) que está formado por representantes de importantes firmas del sector y colaboran estrechamente con organismos de estandarización como ATIS o IETF y el regulador (en este caso la FCC). 
  • Por otra parte el servicio de branded calling, que se encarga de validar la información de la marca, garantizando que la información presentada es veraz, y normalmente también se encargará de servir dicha información al operador terminante, de manera que esta no podrá ser modificada en el tránsito hacia su destino. En el caso de Branded Calling ID (CTIA), estamos ente un ecosistema privado, así la diversidad de proveedores queda limitada a aquellos adheridos a la iniciativa, y con uno o varios roles específicos (onboarding, vetting, signing agents, network operators). Llama la atención que en este ecosistema el rol de STI-CA haya sido entregado en exclusiva a Secure G, que es la única CA autorizada para generar los certificados empleados por los operadores originantes (o los signing agents) para generar las firmas digitales. También ha reservado a una subsidiaria del CTIA,  BCID, LLC , toda la operativa relacionada con el núcleo técnico y gobernanza del flujo de datos (registro y provisión de datos verificados, facturación y coordinación económica…).

Este ecosistema nortemaericano no es fácil de reproducir en otros mercados. Por ejemplo en Francia, la STI-PA y STI-CA son la misma entidad y están bajo el control estatal. Esta complejidad de actores es una de las críticas principales al modelo normteamericano ya que se presupone un mayor coste operativo, una gran dificultad de alineación de stakeholders e incluso ciertas fricciones relacionadas con la privacidad y seguridad de la información.

Otra reflexión que cabe hacer, al comparar ambos “agentes de confianza” es que si en el framework STIR/SHAKEN norteamiericamo apreciamos un planteamiento abierto (al menos más que en el caso francés), en la iniciativa de Branded Calling ID (CTIA) el modelo se restringe mucho más, manteniendo el control directo sobre procesos esenciales del flujo de llamada con marca comercial. Podemos incluso hablar de cierto proteccionismo, o comportamiento monopolístico, ya que en la práctica no hay una alternativa en el mercado al modelo CTIA, y de haberla las barreras de entrada son muy altas.

Branded calling workflow

Preparación para el branded calling: Onboarding, vetting y gestión de la información de la marca.

Cuando hablamos de comunicaciones de voz, estamos hablando de comunicaciones en tiempo real. Esto implica que todo debe estar preparado antes de iniciar la llamada para evitar latencias innecesarias, o errores en la información mostrada.

Los datos que la marca quiere presentar ante el usuario final deben ser validados y formateados por una entidad autorizada por el ecosistema. Para validar la información, la empresa deberá presentar ante el responsable de realizar el vetting toda la documentación necesaria que justifique que legalmente está autorizada para emplear los assets de la marca y los números de teléfono correspondientes. Si por cualquier motivo la marca necesita modificar algún dato de su perfíl, el proceso de vetting debe reiniciarse de nuevo.

El “onboarding agent” guia a la empresa en su registro en el ecosistema BCID, encargándose de dar de alta el perfíl de la empresa en la “plataforma” los números que emplea la marca y la información asociada a esta para que pueda incluirse en las llamadas. 

En esta fase, se valida que el RCD se ajusta a las normas de formato y seguridad, y se coordina con el Signing Agent y la CA, para asegurarse que los certificados que se emiten se corresponden con datos ya validados.

Toda la información recabada en esta fase se subirá a la plataforma BCID, quien se encargará de almacenarla de forma segura y entregarla a los correspondientes actores (p.e. operadores terminantes).

Incluir la información de marca en la llamada

Autenticación y verificación

La empresa llamante a través de su operador de origen inicia la llamada, para ello genera un mensaje SIP INVITE, que por una parte informa al operador terminante de que tiene la intención de establecer contacto con el usuario final, y por otra incluye la información necesaria para que esta llamada se establezca.

El remitente, necesita una certificado digital generado por una Autoridad de Certificación de confianza (en el caso del BCID decíamos que esta sólo podía ser Secure G). Este certificado contiene:

  • La clave pública del titular
  • Información sobre la identidad del titular del certificado (generalmente el operador de origen o Signing Agent autorizado por él).
  • La firma de la CA que garantiza que la clave pública pertenece al titular.

Para generar este certificado el operador originante (o un signing agent delegado) crean un par de claves (una pública y una privada) que son únicas para este operador:

  • Con la clave privada firma datos como el JWT PASSporT
  • Con la clave pública el operador terminante podrá verificar la firma digital.

Con esas claves puede iniciar la solicitud del certificado digital a la CA que emite el certificado y valida la identidad del solicitante del mismo. Este certificado, es lo que justifica ante un tercero que la clave pública pertenece realmente al operador de origen, en la fase de verificación.

Una vez obtenido este certificado (cuya validez puede variar entre 90 días o un año según la CA), el operador de origen puede firmar las llamadas (el PASSport) con su clave pública. 

En el ecosistema BCID, no se incluye el RCD en el PASSport directamente, sino que lo hace en modo “detached”. Entre los motivos: reducción del peso de la señalización IP; la actualización dinámica de los contenidos o la imposición de un control centralizado por el propio proveedor de branded calling, a la hora de aplicar políticas y auditar el uso de la marcas. A cambio se incluye un identificador único dentro de ese PASSport que con el cual el operador de destino podrá solicitar a la plataforma de branding la información de la marca.

Recepción de la llamada y obtención de los datos de la marca.

Cuando el operador de terminación, recibe la llamada junto a la señalización (SIP), recibe el PASSporT firmado digitalmente por el operador de origen. El PASSport a su vez contiene:

  • Datos de la llamada (número de origen, destino, timestamp…)
  • La firma digital generada con la clave privada del operador.
  • La información de la marca (nombre, logo…) 

Durante el proceso de verificación, el operador terminante, extrae la clave pública desde el certificado digital referenciado en el PASSport mediante un identificador (p.e. x5u) y que debe localizar en un repositorio externo de certificados (normalmente ofrecido por la CA). Con esa clave pública ya puede validar la firma.

El operador terminante debe aplicar un algoritmo de verificación criptográfica que compruebe que la firma coincide con los datos del PASSporT usando la clave pública del certificado; y que los datos no han sido alterados desde que fueron firmados. 

Además el OT debe validar la identidad del firmante, revisando el certificado digital para comprobar que ha sido emitido por una CA confiable; que el certificado no ha sido revocado ni está caducado y que el firmante está autorizado a firmar en nombre del operador o marca indicada.

Como hemos dicho en el punto anterior, el operador terminante usará el identificador único de la marca para descargarse la info de la misma desde la infraestructura del BCID. 

Entrega de la información de marca y la llamada al dispositivo del usuario final

Existen 2 estrategias diferentes para resolver este desafío:

Resolución en la red del operador terminante

En este modelo el Operador Terminante recibe el SIP INVITE, valida el PASSport y extrae el brand ID. Con ese identificador de marca consulta la API de BCID para obtener el RCD. Finalmente inyecta o transmite esa info por una de estas 2 vías:

  • Modificando el SIP Invite a un formato compatible con el dispositivo del usuario final, tal y como se describe en el estándar RFC 9796 (SIP Call-Info Parameters for Rich Call Data). 
  • Transmite la info al dispositivo mediante una canal propio (p.e. app de llamadas personalizada, IMS service) 

Resolución directa en el dispositivo

En este caso el operador terminante valida el PASSport y extrae el brand ID, pasa ese brand ID al dispositivo a través del canal de señalización o API interna del operador. A continuación el dispositivo, consulta vía HTTPS al directorio del proveedor de branding (en este caso la plataforma del BCID), y recibe la info del RCD (logo, nombre… ) y lo renderiza en la pantalla de llamada de forma nativa.

El rol del fabricante de teléfonos móviles en Branded Calling

Los operadores deben llegar a acuerdos comerciales con los fabricantes de dispositivos (Apple, Samsung…) para que estos les habiliten las capacidades existentes en los dispositivos para mostrar la información de marca a sus usuarios.

Estos acuerdos suelen tener un alcance nacional, por lo que es uno de los frenos en la actualidad para la expansión de los servicios de branded calling. La buena noticia, es que los principales fabricantes ya cuentan con experiencia en este tipo de funcionalidades, y en el fondo es un aspecto más de las negociaciones habituales entre operadores y fabricantes. 

En el caso de BCID en la propia CTIA quien negocia con los fabricantes las condiciones de interoperabilidad necesaria para la correcta visualización de la información de marca en los dispositivos.

Publicaciones Similares

PSTN CALL on MS Teams

¿Cuál es el rol de las llamadas PSTN en el ecosistema MS Teams?

PorIago Fernández González

Las comunicaciones unificadas deben considerar todavía el uso de tecnologías a veces consideradas legacy, pero que todavía tienen una vigencia irrenunciable a día de hoy. En esto MS Teams no es una excepción, y para poder ofrecer una solución UCaaS completa debe convivir con las llamadas telefónicas tradicionales. Obviamente entre dos usuarios de MS Teams…

Autenticación de llamadas en Francia | MAN Programe

Autenticación de llamadas en Francia | MAN Programe

PorIago Fernández González

“MAN Program” es el acrónimo de “Mécanismes d’Authentification des Numéros”. Impulsada por la ley “Neagelen” que entró en vigor en julio de 2023, representa la aproximación técnica  en Europa a la autenticación del CLI mediante STIR/SHAKEN, y obliga a los operadores franceses a bloquear llamadas no autenticadas o que fallen en el proceso de verificación. …

Teams

Interconexión SIP en la actualidad. El desafío de Microsoft Teams

PorIago Fernández González

La interconexión SIP sigue siendo un desafío hoy en día, y las soluciones UCaaS emergentes como MS Teams colocan este desafío en el centro de la transformación digital de las infraestructuras de comunicación A pesar de que el protocolo se diseñó en 1996 y se estandarizó en 1999, no es sencillo conectar PBX y softswitches de diferentes…

Recuperar la confianza en el canal de voz a través de las llamadas con marca (branded calling)

Recuperar la confianza en el canal de voz a través de las llamadas con marca (branded calling)

PorIago Fernández González

Las branded calls o llamadas con marca comercial, son una reacción a la pérdida de confianza en el canal de voz. Los niveles históricos alcanzados en fenómenos como la suplantación de identidad (spoofing) o el spam telefónico justifican parte de este fenómeno. Es un hecho incontestable, que los niveles de ruido en el canal de…

WhatsApp Outbound

WhatsApp para comunicaciones outbound

PorIago Fernández González

¿A qué llamamos comunicaciones Outbound en WhatsApp? En WhatsApp las comunicaciones outbound son aquellas en las cuales la marca da el primer paso para entablar una conversación con el usuario (business initiated conversation). Este primer paso, puede darse en 2 situaciones diferentes: Continuar una conversación previa abierta en las últimas 24h. Utilizando una plantilla pre…

[Webinar] Impacto del nuevo plan de lucha contra el spam y las estafas telefónicas

[Webinar] Impacto del nuevo plan de lucha contra el spam y las estafas telefónicas

PorIago Fernández González

El próximo jueves 3 de abril de 2024 a las 16:00h CEST presentaremos un nuevo webinar acompañados por el  Centro de Cooperación Interbancaria. Presentación: El pasado mes de febrero, el ministro para la Transformación Digital, Óscar López, firmó la orden ministerial (Orden TDF/149/2025) en la que se concreta el plan para luchas contra las estafas telefónicas y por SMS…