Europol ha emitido un sólido llamado a la acción contra la suplantación de identidad de llamadas, advirtiendo que los estafadores utilizan cada vez más la técnica para facilitar los delitos financieros y los ataques de ingeniería social. La agencia afirma que los estafadores manipulan el número que se muestra a los destinatarios de las llamadas para que la llamada parezca provenir de una institución confiable, un organismo gubernamental o un contacto familiar. Esta identidad tergiversada permite a los delincuentes engañar a las víctimas para que revelen datos personales, autoricen pagos o entreguen datos confidenciales.
En su informe, Europol notes que las llamadas falsificadas representan aproximadamente el 64 por ciento de los casos reportados de comunicaciones telefónicas fraudulentas en todo el mundo, y que las pérdidas por este tipo de ataques se estiman en alrededor de 850 millones de euros anuales.
La amenaza no se limita a un país o región, ya que la naturaleza transfronteriza de estos ataques complica las investigaciones policiales, porque los atacantes a menudo originan llamadas fuera del país de la víctima, lo que reduce la trazabilidad.
La suplantación de identidad de llamadas no es simplemente una molestia o molestia. Es un facilitador clave en fraudes más graves. El análisis de Europol identifica que las llamadas falsas ayudan a los delincuentes a hacerse pasar por organizaciones legítimas, lo que hace que las víctimas sean mucho más propensas a cumplir con las demandas. Por ejemplo, los delincuentes pueden hacerse pasar por un banco, una autoridad fiscal o un proveedor de servicios públicos y luego convencer a una persona para que transfiera dinero o revele credenciales.
La técnica también es compatible con las llamadas estafas de “soporte técnico” en las que las personas que llaman afirman ser de una empresa conocida y piden a las víctimas que instalen un software de acceso remoto. Una vez que se otorga el control del dispositivo, los delincuentes pueden extraer datos, instalar malware o desviar fondos. En casos extremos, el grupo destaca los incidentes de “swatting” en los que una llamada falsa desencadena una respuesta de los servicios de emergencia a la dirección de la casa de la víctima, creando riesgo para la vida y la propiedad.
Europol advierte que los grupos criminales a menudo ofrecen la suplantación de identidad como un “servicio”. Proporcionan herramientas, infraestructura o plataformas que permiten a otros realizar llamadas falsas sin un conocimiento técnico profundo. La existencia de tales servicios reduce la barrera de entrada para el fraude, lo que permite que incluso los pequeños actores utilicen fuertes tácticas de engaño.
¿Por qué Europa se enfrenta a retos particulares?
Las fuerzas y cuerpos de seguridad europeos reconocen varios desafíos estructurales en la lucha contra la suplantación de identidad. Las redes y regulaciones de telecomunicaciones de muchos países no se construyeron con la prevención del fraude o la verificación de la identidad de las personas que llaman como una preocupación central. Como resultado, los números falsificados se pueden enrutar a través de una variedad de redes, incluidos los canales de Voz sobre Protocolo de Internet, lo que complica el rastreo de origen y dificulta la aplicación.
Una encuesta realizada por Europol en 23 países encontró que las fuerzas del orden a menudo carecen de mecanismos de colaboración con los operadores de telecomunicaciones, tienen acceso limitado a datos técnicos sobre llamadas falsas y enfrentan una legislación que es inconsistente a través de las fronteras. Por ejemplo, cuando un número falsificado parece originarse dentro de un país, pero la persona que llama en realidad está fuera de él, los marcos legales para la investigación y la asistencia mutua se vuelven más lentos y lentos.
Además, muchas redes no autentican la identificación de la línea de llamada (CLI) al establecer llamadas. Sin la verificación del número mostrado, los usuarios pueden ser engañados fácilmente y los proveedores no pueden rastrear de manera confiable la verdadera fuente de la llamada. Según Europol, la aplicación fragmentada de las normas técnicas en los Estados miembros es una de las causas fundamentales de la vulnerabilidad.
Impacto financiero y costo humano de la suplantación de identidad
Si bien las cifras globales precisas son difíciles de precisar, la estimación de Europol de pérdidas de alrededor de 850 millones de euros anuales da una clara indicación de la escala. El hecho de que el 64 por ciento de las llamadas fraudulentas a nivel mundial involucren la suplantación de identidad de llamadas subraya su papel central en el fraude moderno.
Las personas que son objeto de llamadas falsas pueden sufrir no solo pérdidas financieras, sino también daños emocionales y psicológicos. Las víctimas a menudo se sienten violadas, avergonzadas o avergonzadas, lo que puede retrasar la denuncia y la recuperación. Financieramente, pueden perder ahorros, recibir préstamos fraudulentos o sufrir un robo de identidad que tiene consecuencias a largo plazo. Las organizaciones también pueden enfrentar daños a la reputación cuando su nombre o número es falsificado en grandes campañas.
Debido a que la técnica aprovecha la confianza, utilizando un número familiar o confiable, es más probable que las víctimas cumplan con las solicitudes. Por ejemplo, una llamada que se hace pasar por un banco o un regulador puede conducir a un cumplimiento inmediato bajo la autoridad percibida, reduciendo el tiempo que una víctima tiene para cuestionar o reflexionar sobre la solicitud.
¿Qué respuestas técnicas y reglamentarias son necesarias?
Europol esboza una estrategia polifacética para combatir la suplantación de identidad de llamadas. Una medida técnica es establecer sistemas de rastreo sólidos que permitan rastrear las llamadas telefónicas salto a salto hasta que se identifique al originador. Sin tales herramientas, es posible que los operadores no identifiquen la verdadera fuente del tráfico falsificado.
Otra prioridad es implementar la autenticación de los números de origen. Por ejemplo, las redes deben verificar que un número que se utiliza como identificador de llamadas pertenece realmente a la cuenta de abonado de la persona que llama, y que las llamadas enrutadas a un país desde el extranjero deben llevar información que verifique el origen. Establecer estándares globales para la autenticación de CLI es crucial.
En términos regulatorios, Europol pide marcos armonizados en toda Europa para que los operadores y las fuerzas y cuerpos de seguridad trabajen bajo reglas consistentes. Esto incluye mandatos legales claros para que los operadores de telecomunicaciones compartan registros de detalles de llamadas, cooperen rápidamente con las investigaciones y bloqueen bases de datos de números falsificados conocidos.
Papel de los operadores de telecomunicaciones y las partes interesadas
Los proveedores de telecomunicaciones desempeñan un papel clave en la prevención. Son responsables de implementar la validación de números, filtrar llamadas sospechosas, compartir telemetría con las fuerzas del orden e identificar el uso indebido de números legítimos. Europol subraya que muchas compañías siguen operando sin suficiente supervisión interna del tráfico falsificado, o carecen de integración con los canales de aplicación de la ley.
Los organismos y reguladores de la industria también deben intervenir. Por ejemplo, los reguladores de telecomunicaciones pueden obligar a los operadores a adoptar la “autenticación de identificación de línea de llamada” o marcos similares, emitir requisitos de cumplimiento para el enrutamiento de llamadas internacionales y hacer cumplir sanciones para los operadores que permiten el tráfico falsificado. La coordinación entre los reguladores nacionales, los operadores y las fuerzas del orden es esencial porque las campañas de suplantación de identidad a menudo saltan jurisdicciones.
La conciencia del consumidor es otro factor. Incluso las mejores defensas técnicas fallarán si las personas continúan confiando ciegamente en un número. Los usuarios finales deben estar capacitados para cuestionar llamadas inesperadas, verificar los canales de contacto oficiales de forma independiente y evitar proporcionar información confidencial solo porque aparece un número confiable en la pantalla.
Qué puede hacer para protegerse de la suplantación de identidad
Desde una perspectiva personal o empresarial, varias prácticas pueden reducir el riesgo que representa la suplantación de identidad. Primero, cuando reciba llamadas que soliciten transferencias, autenticación de dos factores o credenciales de inicio de sesión, trate a la persona que llama como sospechosa a menos que se verifique de forma independiente. Las empresas también deben capacitar a los empleados para que cuestionen las llamadas inesperadas, incluso si muestran identificadores de llamadas confiables.
En segundo lugar, mantener una política de “verificación” ayuda. Cuelgue, busque el número oficial de la organización y devuélvales la llamada en lugar de usar el número entrante. Esto garantiza que no esté interactuando con un número falsificado. Las empresas deben hacer cumplir esta regla para los departamentos de finanzas, los equipos de recursos humanos o cualquier persona con acceso a datos o pagos confidenciales.
En tercer lugar, adopte el filtrado de llamadas, las listas de bloqueo y el monitoreo de números sospechosos a nivel de organización. Si su empresa implica transacciones grandes, solicitar registros de detalles de llamadas de los operadores para llamadas entrantes sospechosas puede ayudar a las fuerzas del orden a rastrear el tráfico falsificado.
Finalmente, las personas deben permanecer alerta. Tenga especial cuidado si un número de confianza llama y solicita el pago, los datos personales o la instalación de software sin verificar la solicitud. Reportar llamadas sospechosas a reguladores o operadores ayuda a generar inteligencia que puede negar a los estafadores la escala que necesitan.