Suplantación telefónica o spoofing: ¿Qué es y cómo evitarlo?

La suplantación telefónica, conocida como telephone spoofing, es una técnica mediante la cual un llamante falsifica la información que aparece en el identificador de llamadas con el fin de ocultar su verdadera identidad, dijo la telefónica TurboRed.

Esta práctica permite que una llamada parezca provenir de una persona, empresa o institución legítima, como bancos, organismos gubernamentales o números locales de confianza. Aunque esta técnica existe desde hace años, su eficacia y escala han aumentado significativamente con la integración de la Inteligencia Artificial (IA).

Funcionamiento de la suplantación telefónica

El spoofing telefónico se realiza generalmente a través de tecnologías de Voz sobre Protocolos como (VoIP) o SS7 (conocida como señalización 7) que permiten manipular los datos enviados al identificador de llamadas. De este modo, el número o nombre mostrado al receptor no coincide con el origen real de la llamada.

El papel de la inteligencia artificial

La inteligencia artificial ha transformado la suplantación tradicional en una amenaza más sofisticada y difícil de detectar. Los actores criminales dependen cada vez más de herramientas impulsadas por IA para aumentar la credibilidad, automatizar operaciones y atacar a las víctimas con mayor precisión. Las principales capacidades habilitadas por IA incluyen:

•  Clonación y síntesis de voz: Los modelos de IA pueden replicar la voz de una persona usando muestras cortas de audio, permitiendo a los estafadores hacerse pasar por ejecutivos, familiares o figuras de autoridad con un alto realismo.

•  Sistemas de IA conversacional: Modelos avanzados de generación de voz permiten conversaciones en tiempo real y de sonido natural que se adaptan dinámicamente a las respuestas de la víctima, reduciendo la sospecha.

• Traducción de idiomas y adaptación de acentos: La IA permite que las llamadas suplantadas se localicen lingüística y culturalmente, haciendo que las estafas internacionales parezcan nacionales y fiables.

• Escalado automatizado de llamadas: Los sistemas de llamadas automáticas impulsados por IA pueden realizar miles de llamadas suplantadas simultáneamente, optimizando scripts según las tasas de éxito.

• Segmentación basada en datos: Los algoritmos de aprendizaje automático analizan los datos robados o comprados para identificar objetivos de alto valor o vulnerables y adaptan los mensajes en consecuencia.

Uso en el crimen organizado

El telephone spoofing es una herramienta ampliamente utilizada por organizaciones criminales debido a su bajo costo, alcance masivo y dificultad de rastreo. En el contexto del crimen organizado, esta técnica se emplea para:

• Fraude financiero a gran escala, incluyendo estafas bancarias, fraudes de inversión y cobros falsos.

• Extorsión, donde los delincuentes se hacen pasar por autoridades policiales, fiscales o miembros de grupos criminales para intimidar a las víctimas.

• Robo de identidad, obteniendo información personal y financiera mediante engaños cuidadosamente planificados.

• Lavado de dinero, utilizando llamadas falsificadas para coordinar operaciones sin revelar la identidad real de los participantes.

• Estafas transnacionales, ya que el spoofing permite a las redes criminales operar desde otros países simulando llamadas locales.

Estas organizaciones suelen combinar la suplantación telefónica con bases de datos robadas, ingeniería social y centros de llamadas clandestinos, lo que incrementa la efectividad y el impacto de sus operaciones delictivas.

Impacto y riesgos

La suplantación telefónica contribuye a la pérdida de confianza en los sistemas de comunicación y provoca graves consecuencias económicas y psicológicas para las víctimas. Además, dificulta el trabajo de las autoridades, ya que los números falsificados complican la identificación y localización de los responsables.

“La suplantación telefónica mejorada por IA erosiona la confianza en la comunicación de voz, un medio históricamente considerado fiable. El impacto psicológico es severo, ya que las víctimas pueden creer que están hablando con una persona conocida. Las pérdidas financieras, el robo de identidad y el daño reputacional son consecuencias comunes, especialmente para empresas y poblaciones vulnerables”, dijo TurboRed.

Marco legal y respuesta institucional

En muchos países, el uso del spoofing con fines fraudulentos o delictivos está tipificado como delito. Las autoridades y los proveedores de telecomunicaciones han implementado sistemas de autenticación de llamadas y cooperación internacional para combatir estas prácticas, especialmente cuando están vinculadas al crimen organizado.

Así puedes evitar la suplantación telefónica:

Así puedes evitar la suplantación telefónica

En varios países existen campanas de parte del regulador para educar a los ciudadanos y empresas, por ejemplo, la FCC en Estados Unidos tiene la alerta de “No te cuelgues (esperes), ¡cuelga!” en donde recomienda lo siguiente:

• No contestes llamadas de números desconocidos. Si llegas a contestar una desconocidad, cuelga inmediatamente.

• Si contestas y la persona que llama —o una grabación— te pide que pulses un botón para dejar de recibir las llamadas, simplemente deberías colgar. Los estafadores suelen usar este truco para identificar posibles objetivos.

• No respondas a ninguna pregunta, especialmente a aquellas que puedan responderse con "Sí" o "No".

• Nunca facilites información personal como números de cuenta, números de la Seguridad Social, apellidos de soltera de la madre, contraseñas u otra información identificativa en respuesta a llamadas inesperadas o si tienes sospechas.

• Si recibes una consulta de alguien que dice que representa a una empresa o a una agencia gubernamental, cuelga y llama al número de teléfono que aparece en tu extracto de cuenta, en la guía telefónica o en la web de la empresa o agencia gubernamental para verificar la autenticidad de la solicitud. Normalmente recibirás una declaración por escrito por correo antes de recibir una llamada de una fuente legítima, especialmente si la persona que llama pide un pago.

• Ten precaución si te presionan para obtener información de inmediato.

• Si tienes una cuenta de buzón de voz con tu servicio telefónico, asegúrate de ponerle una contraseña. Algunos servicios de buzón de voz están preconfigurados para permitir el acceso si llamas desde tu propio número de teléfono. Un hacker podría suplantar tu número de teléfono fijo y acceder a tu buzón de voz si no configuras una contraseña.

• Habla con tu compañía telefónica sobre herramientas para bloquear llamadas y busca aplicaciones que puedas descargar en tu dispositivo móvil.

En general puedes seguir los siguientes consejos.

Para individuos:

1. No confíes solo en el identificador de llamadas; Los números y los nombres pueden ser fácilmente falsificados.

2. Ten cuidado con la urgencia o amenazas, especialmente con demandas de pago inmediato o secreto.

3. Verifica las identidades a través de canales independientes, como devolver llamadas usando números oficiales encontrados en sitios web de confianza.

4. Devolver la llamada. Si no estas seguro si conoces o no ese numero cuelga y regresa la llamada usando el *67 el cual es un servicio suplementario que oculta tu numero de teléfono (aunque no todas las operadoras lo implemente es generalmente disponible).

5. Evita compartir información sensible (contraseñas, PINs, códigos de un solo uso) por teléfono.

6. Establece condiciones de verificación familiar o de trabajo. Establece palabras clave en tu circulo de trabajo y familar.

7. Utiliza herramientas de bloqueo de llamadas y filtro de spam proporcionadas por operadores móviles o aplicaciones de confianza.

8. Deja que los números desconocidos vayan al buzón de voz y revisa los mensajes con atención.

9. No compartas tu información en redes sociales. Una vez que alguien conoce tu numero es más fácil suplantarlo.

Para empresas y organizaciones

1. Implementa políticas de devolución de llamada y verificación dual para solicitudes financieras o sensibles.

2. Formar a los empleados para que reconozcan técnicas de suplantación y suplantación basadas en IA.

3. Restringir la dependencia de la autorización solo por voz, especialmente para pagos o acceso a datos.

4. Adoptar protocolos de comunicación seguros, incluyendo confirmación por escrito para acciones de alto riesgo.

5. Monitoriza y registra las llamadas sospechosas y repórtalas con rapidez.

Medidas técnicas e institucionales

1. Activar tecnologías de autenticación de llamadas cuando estén disponibles.

2. Despliega sistemas de detección basados en IA para identificar voces sintéticas o manipuladas.

3. Actualizar regularmente los procedimientos de respuesta ante fraude para reflejar las amenazas emergentes de la IA.

4. Fomentar la notificación y el intercambio de información entre proveedores de telecomunicaciones y autoridades.

(Con información de Nicolás Lucas).