Las redes de telefonía están sufriendo una plaga de campañas de spam fraudulentas que aprovechan la falta de seguridad del protocolo con el que funciona la identificación de llamadas para engañar a las víctimas mostrando un número manipulado que pertenece a otro abonado. Así funciona el Caller ID spoofing.
|
etiquetas: spoofing , spam telefonico , estafa
Y asi es como se termina de pervertir el sistema. Que teniendo tú todos los datos para iniciar el procedimiento que podría acabar con el problema no puedas hacerlo porque a) la operadora no pueda actuar impedida por la ley b) la agencia que vela por esos datos te remita a la policía c) la policía pase de estos casos porque sus protocolos no pueden absorber todas las demandas eficientemente.
Sobre viendo el descontrol que en temas como el Bizum donde están permitiendo utilizar el número de teléfono otra persona, si se utilizara el DNI podrían unicamente dejar utilizar el número de la persona.
la red de telefonía pública está formada por la interconexión de cientos de redes de operadoras. Históricamente ha sido considerada un entorno cerrado donde solo participaban jugadores de confianza, por lo que no se diseñó pensando en la seguridad.
www.meneame.net/m/actualidad/estafan-vecino-vejer-casi-10-000-euros-cu
En ambos casos superan los 10000 euros y con denuncia puesta en la Policía, ya que sino los bancos se inhiben.
Supongo que dada la cuantía se irá a juicio y el juez tendrá a bien pedir los registros de las conexiones a las distintas compañías tecnológicas implicadas.
Con eso lo mismo se llega a las personas que hicieron las llamadas y si se sigue tirando del hilo a los empleados de call center que filtraron esa información relevanteñ
Otra cosa es que puedan rastrear los movimientos de las cuentas, ya que al fin y al cabo habrá echo una transferencia a otra cuenta bancaria, pero no se yo las posibilidades que tiene contra el banco, al ser el mismo el que ha realizado la transferencia
Luego, con la aparición de los móviles se asignaba a una SIM.
Actualmente, dado que incluso las SIM de prepago necesitan un titular identificado tiene todo el sentido del mundo lo que dices.
Ayer la noticia del estafado desde un número de ING. Y hace 4 días un amigo albquenle han intentado hacer lo mismo desde un número spoofeado de Bankinter
Vaya que es posible solucionarlo pero no les sale de los guebs a los legisladores. Solo hay que obligar a las operadoras a que no acepten llamadas con CLI nacionales que vengan de redes externas.
Si sirven para ocultar operaciones de trafico de drogas, armas, o saqueos de ttesoroxpublico de cientos de millones imagínate lo que van a importar transferencias de unos pocos miles de euros.
(y vale escribiendo me doy cuenta que la ip también se puede joder con proxys, las cuentas aunque las pongan en lista negra podrán usar otras, y las cantidades de dinero, conforme se den cuenta les irán bajando la cuantía, es el juego del gato y del ratón, pero definitivamente a ese juego solo podrán jugar unos cuantos grupos de personas y tendrían que tenerlos perfectamente acotados, como en este caso las llamadas la entrada a la red se hace de este canal, pues se jode este canal, y se irán a otro...pero si los tienen acotados o localizados puedes convertir al gato en ratón y perseguirlo haciendo que incrementen el número de ilegalidades, mientras que no hagan daño con ellas)
Por eso está bien quejarse pero quejarse ante quien corresponde, para mejorar las cosas si es posible, no sólo por quejarse de que la sociedad debiera prever todo.
Fuente: www.cuestiondehonor.com/los-numeros-telefono-datos-caracter-personal/
Pero aunque al ser de empresa no sean datos personales, está claro que hacerse pasar por quienes no son debería ser considerado delito.
Además, si al ser de empresa no son datos personales, ningún problema para pedir la identificación de la empresa.
Te pones un límite de 1000e diarios por ejemplo, que solo puedas quitar si vas a la oficina personalmente y listo.
www.google.com/search?q=dnis repetidos
Hace unos cuantos años esto mismo se podía hacer hasta con los correos electrónicos.
La solución suele ser tener sentido común y no atender de primeras peticiones extrañas que te hagan por teléfono. Por ejemplo, en el caso de ING de ayer, llamar tú mismo a ING o irte personalmente a una oficina.
El DNI, ¿es un dato de carácter personal? Lo que dice la AEPD. Como indicaba anteriormente, el DNI es considerado como un dato personal, tanto por el RGPD como por la LOPDGDD. Y es así porque a través del mismo podría identificarse a una persona
Ahora vas y lo cascas
Lo que si es flagrante, es que salvo el caso de teléfonos móviles, no pueden venir fijos de operadoras no patrias, con lo que es fácil controlar este spoofing para los fijos.
El problema es que la normativa no les permite filtrar o marcar de alguna manera estás llamadas.
La primera cagada es esa.
La siguiente es definir un sistema de validación, simplemente un paquete a la operadora propietaria ( al estilo de un SYN ACK de TCP) del numero para verificar que la llamada no es fraudulenta, pero esto es un cambio en los estándares y supone mucho tiempo de implementación.
Tu consejo es poco útil cuando quien te llama puede ser tu banco o tu operadora o su ministradles, donde tienen personal rotando y miles de empleados .
El problema no es quien llama con un identificador de llamada real. El problema es que lo modifican para que acrézcale que te llama tu banco o tu suministradora de luz. En tu pantalla aparece su número, pero quien te llama lo hace desde otro distinto
O mejor, volvamos a la guillotina.
Tu practicas la ley del talión en tu vida?
La Policía Nacional dice que es imposible que dos personas tengan el mismo DNI, por lo que las únicas explicaciones son el error humano y el fraude documental
Persiguiendo uno resolverás muchos.
Pregúntale al que le han estafado los ahorros lo que practicarían.
¿Tú eres de esos estupendos de la vida hasta que te toca a ti, no? Empatía cero con la víctima
Edito: desconozco si eso se ha corregido o no.
No es lógico que tenga más pena de prisión un delito contra la protección de derecho de autor o propiedad intelectual que un delito contra la personas.
Coincido contigo que habría que revisar y actualizar las leyes y penas.
-Muy bien. ¿Cómo te llamas, que ya te llamo yo a la oficina?
- <cri, cri, cri, cri…………>
Y se acabó el problema. Porque, sí, pueden hacer spoofing del número de teléfono, pero lo mismo que ha ocurrido DESDE SIEMPRE con los correos electrónicos, que se puede simular que los envía alguien de tu libreta de direcciones cuando, en realidad, no es así (y también se ha utilizado para estafar, recuerdo algún caso), pero, cuando llamas tú, llamas al número que marcas, y si llamas a tu oficina bancaria, ES tu oficina.
Llámame loco, pero en cosas importantes, como el dinero, no está de más tener un grado más de seguridad que de costumbre, o dos.
CC #43
¿No resulta un poco contradictorio? ¿No era "imposible"? ¿Entonces cómo es que tiene explicación?
En resumen al final la policía misma reconoce que puede haber duplicados porque el procedimiento en algún momento no era robusto.
CC #59
Se tratan de error o fraude por tanto, si eres consciente de uno repetido, ve a la policía a denunciarlo, como indiqué. Porque te la pueden liar muy guapa
Obviamente que es un error, porque el DNI se supone que es único, pero existir existen.
Por otro lado nadie ha dicho en ningún momento que sea deliberadamente que haya dnis duplicados.
Portar-lo mi parte aquí se queda, porque creo que ya he dicho todo lo que tenía que decir, y como muy educadamente indicas seguro que soy yo que no he entendido tus mensajes. Felices fiestas.
Y otra cosa, jamás doy mis datos a nadie a no ser que sea extrictamente necesario y por supuesto nada de mierdas de redes sociales para contar hasta el último pedo que me he tirado, potque el scam está a la órden del día y es de donde cojen toda la información posible del personal.
Mano de santo.
Por lo que no es posible, por ejemplo, suplantar la dirección de origen del BBVA. Gmail ya sabe que esos correos deberían venir firmados digitalmente con el certificado del BBVA. Por lo que si no es así los manda directamente a spam.
STIR/SHAKEN es un marco de estándares interconectados. STIR/SHAKEN son acrónimos de los estándares Secure Telephone Identity Revisited (STIR) y Signature-based Handling of Asserted Information usando toKENs (SHAKEN). Esto significa que las llamadas que viajan a través de redes telefónicas interconectadas pueden tener su identificador de llamadas "firmado" como legítimo por los operadores de origen y validado por otros operadores antes de llegar a los consumidores. STIR/SHAKEN valida digitalmente la transferencia de llamadas telefónicas que pasan a través de la compleja red de redes, lo que permite a la compañía telefónica del consumidor que recibe la llamada verificar que la llamada proviene del número que aparece en el identificador de llamadas.
www.fcc.gov/call-authentication
De nuevo, es como comprobar si el enlace que aparece en un e-mail "de tu banco" por "un pago irregular que te han cargado en cuenta" realmente envía a la página de tu banco.
Edit: y muy cierto lo de la firma digital, no sé por qué no se usa más. Yo empecé a usar PGP para firmar correos y contenido en el '98.