Fergal Parkinson
Published on: June 5, 2023
Un ciberdelincuente que ideó un caso de fraude multimillonario en el Reino Unido y en todo el mundo ha sido condenado a más de 13 años, por dirigir el sitio web iSpoof, una plataforma que prestaba servicios de suplantación de números a usuarios de todo el mundo.
En el marco de la investigación también se detuvo a otros 169 ciberdelincuentes.
En su punto álgido, cada minuto se llamaba a 20 víctimas potenciales de fraude utilizando el software del sitio web, que sólo podía descargarse a través de la web oscura. Los pagos sólo podían realizarse con Bitcoin, en un intento de garantizar el anonimato de los 59.000 usuarios estimados.
El Reino Unido fue uno de los principales objetivos de los ciberdelincuentes, con alrededor del 35% de las llamadas dirigidas a números de teléfono británicos, sólo superado por Estados Unidos (40%).
La suplantación del número es una técnica utilizada por los estafadores para cambiar el número de teléfono que aparece en la pantalla del identificador de llamadas. Consiste en cambiar la información del identificador de llamadas para que parezca que la llamada procede de un número distinto, a menudo familiar para la persona a la que llaman. El objetivo de esta técnica es ganarse la confianza de la persona y engañarla para que facilite información sensible o transfiera dinero, ya que los ciberdelincuentes realizan llamadas de phishing a los clientes de una empresa.
Aunque esta táctica se denomina comúnmente suplantación de número, también suele denominarse suplantación del identificador de llamada o phishing de voz.
A diferencia de las estafas por correo electrónico u otros tipos de fraude en línea, los ataques de suplantación de números suelen basarse en que el estafador se ponga en contacto directo con tus clientes, para poder generar confianza y averiguar información personal.
Las estafas de suplantación de identidad se facilitan tecnológicamente a través de servicios VoIP (Protocolo de Voz sobre Internet) que permiten a los estafadores enmascarar sus números de teléfono reales mostrando un número diferente en el sistema de identificación de llamadas del destinatario. Esto se suele ejecutar mediante un software o un servicio especializado que ofusca el origen de la llamada.
Spoofing del vecino: Los estafadores imitan los números locales, a menudo duplicando los seis primeros dígitos de tu propio número para aumentar la probabilidad de que contestes a la llamada.
Robocall Spoofing: Llamadas automáticas programadas para emitir mensajes pregrabados con el identificador de llamada disfrazado de empresas locales u organizaciones de confianza.
Suplantación de identidad en mensajes de texto: Se aplican tácticas similares a través de SMS, en los que se envían mensajes de texto desde un número que parece pertenecer a una fuente legítima, a menudo incitando a una acción urgente por parte del desprevenido destinatario.
¿Hay indicios de que puedan estar suplantando tu identidad? Entre los indicadores clave están la incongruencia de la información facilitada durante la llamada con lo que sabes, las solicitudes de transacciones financieras inmediatas o de información personal, y las voces pregrabadas o los retrasos extrañamente cronometrados que indican una configuración de robollamada.
Una voz robótica y carente de emoción o un interlocutor que no interactúa con naturalidad durante la conversación puede ser una señal de alarma importante, que sugiere que se trata de una robollamada y no de un ser humano al otro lado de la línea.
Las víctimas de estafas de suplantación de identidad pueden sufrir grandes pérdidas económicas, robo de identidad y una violación de la seguridad personal, que puede tardar años en rectificarse por completo. Los casos incluyen compras no autorizadas, fondos transferidos bajo falsos pretextos y explotación de datos personales para abrir nuevas cuentas u obtener más acceso ilegal a servicios financieros.
Las estafas de suplantación de identidad suelen implicar que el estafador se haga pasar por alguien que no es, como un representante de una agencia gubernamental o una institución financiera. Pueden decir a la persona a la que llaman que debe dinero o que se ha producido una actividad sospechosa en su cuenta. También pueden ofrecer un premio o pedir información personal, como los datos de la tarjeta de crédito. Otros trucos habituales pueden ser las estafas benéficas, laborales y médicas.
Una vez que el estafador se ha ganado la confianza de la persona a la que llama, intentará obtener de ella información confidencial o dinero. Pueden pedir a la persona que facilite esta información por teléfono o que transfiera dinero a una cuenta determinada. En algunos casos, incluso pueden pedir a la persona que compre tarjetas regalo y facilite los datos de la tarjeta por teléfono.
La forma en que se posicionan los estafadores suele variar y, cuanto más conozcan los datos personales de un cliente, mejor podrán hacer que sus llamadas/números falsos parezcan más afines. Algunos de los tipos más comunes de tácticas de suplantación de identidad telefónica son;
Las estafas de seguros utilizan la suplantación de números de varias formas para engañar a las víctimas y hacerles dar información personal o efectuar pagos por pólizas o reclamaciones de seguros falsas. Una táctica habitual es que los estafadores utilicen números de teléfono falsos para hacerse pasar por compañías o agentes de seguros. Pueden utilizar el número de teléfono de una compañía de seguros legítima o un número que parezca de un proveedor de seguros conocido para dar la impresión de que la llamada es auténtica. Una vez que se han ganado la confianza de la víctima, pueden solicitar información personal, como los datos de la tarjeta de crédito u otra información de pago.
Los estafadores de seguros utilizan la suplantación de números para dirigirse a personas que han presentado recientemente una reclamación legítima al seguro.
Pueden utilizar un número falso para llamar a la víctima y ofrecerle ayuda con su reclamación, pero luego solicitar el pago de sus servicios o intentar obtener información personal adicional.
Las llamadas de estafa del IRS son un tipo de timo telefónico en el que los estafadores se hacen pasar por representantes del Servicio de Impuestos Internos (IRS) e intentan engañar a la gente para que revele información personal mediante el pago de facturas de impuestos falsas.
Los ciberdelincuentes utilizan la suplantación de números de teléfono para que parezca que llaman desde un número de teléfono auténtico del IRS. Las llamadas fraudulentas del IRS pueden tener un alto índice de éxito, ya que están diseñadas para crear pánico y preocupación en la víctima objetivo, lo que significa que puede actuar por miedo a consecuencias mayores.
La Agencia Tributaria no se pone en contacto con los contribuyentes por teléfono ni por correo electrónico, y nunca amenazará con traer a la policía local u otras fuerzas del orden para detener a alguien por impago de impuestos, todo lo cual puede ser una táctica para asustar utilizada por los estafadores.
El teléfono y la banca online son un objetivo habitual de las estafas de falsificación de números. Se centran en llamar a clientes de banca utilizando números falsos, para intentar averiguar información personal. Esto incluye datos de la cuenta y datos de identificación personal, lo que permite a los ciberdelincuentes cometer fraudes utilizando estos datos.
Este tipo de estafa es especialmente frecuente en el sector bancario, ya que los estafadores saben que la gente suele confiar más en una llamada de su banco y, además, pueden dirigirse a grandes cantidades de fondos potenciales.
Utilizando VoIP, los estafadores pueden manipular el sistema de identificación de llamadas para mostrar un número de teléfono falso en el identificador de llamadas de la víctima. Pueden hacer que parezca que la llamada procede del banco de la víctima o de otra institución financiera legítima, aumentando la probabilidad de que la víctima conteste a la llamada y facilite información personal.
Otro método utilizado por los estafadores se conoce como “suplantación de vecino”, en el que el número de teléfono falso que aparece en el identificador de llamadas de la víctima es similar o idéntico a su propio prefijo y centralita, lo que hace más probable que la víctima conteste a la llamada. En algunos casos, el número falsificado puede pertenecer incluso a una empresa u organización legítima, lo que añade más credibilidad a la llamada.
Los estafadores también pueden utilizar otros métodos, como el software de suplantación del identificador de llamadas o las aplicaciones de suplantación que les permiten cambiar el número de teléfono que aparece en el identificador de llamadas de la víctima.
Aunque las estafas de falsificación de números de teléfono son cada vez más frecuentes y sofisticadas, sigue habiendo varias características clave o señales de alarma a las que puedes prestar atención para mantenerte protegido. Entre ellas están
Llamadas sospechosas de números desconocidos
Si tú o tus clientes descubrís que estáis recibiendo un número creciente de llamadas de números desconocidos, retenidos o privados, es posible que vuestro número esté en el punto de mira de los estafadores.
Llamadas automáticas con mensajes grabados
Otro fuerte indicador de que eres objetivo de los estafadores. La información importante de tu banco u otras instituciones nunca se comunica por mensaje recodificado y siempre se te pedirá que confirmes tu identidad antes de cualquier conversación con tu banco real.
Demandas urgentes de información personal
Si te piden información personal repetidamente, a veces a través de varios canales, como el teléfono y el correo electrónico, puede ser un indicio de actividad fraudulenta.
Amenazas de acciones legales o detención
Los estafadores son conocidos por proferir amenazas contra los clientes a los que se dirigen, advirtiendo incluso de que las fuerzas del orden se verán implicadas si no se efectúa el pago.
Exigencias de pago mediante tarjetas regalo o transferencias bancarias
Las empresas y organizaciones de confianza sólo pedirán a sus clientes que paguen a través de los canales oficiales pertinentes. Esto nunca incluiría tarjetas regalo o transferencias bancarias a usuarios particulares.
La suplantación de números de teléfono es una técnica engañosa utilizada por los estafadores para manipular la información del identificador de llamadas, haciendo que parezca que una llamada o un mensaje proceden de una fuente de confianza. Los estafadores aprovechan este método para hacerse pasar por bancos, organismos públicos y empresas conocidas, engañando a las personas para que faciliten información personal o financiera confidencial.
Spoofing de VoIP (Protocolo de Voz sobre Internet)
Los estafadores utilizan la tecnología VoIP para modificar la información del identificador de llamadas antes de realizar una llamada. Muchos servicios VoIP permiten a los usuarios configurar manualmente el identificador de llamadas salientes, lo que facilita a los estafadores disfrazar su verdadera identidad.
SIP (Session Initiation Protocol) Trunking Exploits
El trunking SIP, que permite realizar llamadas de voz a través de Internet, puede manipularse para insertar información fraudulenta de identificación de llamadas en las llamadas salientes. Los estafadores aprovechan los puntos débiles de los protocolos de telecomunicaciones para hacer que sus llamadas parezcan proceder de empresas o números locales legítimos.
Software y aplicaciones para falsear el identificador de llamadas
Numerosas aplicaciones y servicios en línea para falsear el identificador de llamadas permiten a los estafadores cambiar a voluntad los números de teléfono mostrados. Estas herramientas están fácilmente disponibles y a menudo se comercializan como inofensivas, pero con frecuencia se utilizan indebidamente para actividades fraudulentas.
GranjasSIM y enlaces GSM
Algunos estafadores utilizan granjas SIM -coleccionesde múltiples tarjetas SIM conectadas a marcadores automáticos- para realizar miles de llamadas mostrando números diferentes. Este método ayuda a eludir la detección de spam y dificulta el seguimiento del origen de las llamadas fraudulentas.
Sistemas PBX comprometidos
Los piratas informáticos se infiltran en los sistemas telefónicos de las empresas(Centralita Privada – PBX) para desviar las llamadas e inyectar números falsos. Esto permite a los estafadores utilizar infraestructuras empresariales legítimas para realizar llamadas fraudulentas sin levantar sospechas.
En muchas jurisdicciones, la ley prohíbe explícitamente el uso de identificadores de llamadas engañosos o inexactos con fines perjudiciales o engañosos. Por ejemplo, en Estados Unidos, la Ley de Veracidad en la Identificación de Llamadas de 2009 prohíbe tales prácticas.
A pesar de las leyes existentes, su aplicación puede ser un reto, especialmente cuando las llamadas se originan en lugares internacionales o se dirigen a través de múltiples redes, lo que complica la trazabilidad y la autoridad jurisdiccional.
Cuando los clientes de una empresa son objetivo de los estafadores online, puede tratarse de un asunto arriesgado que, además, puede agravarse rápidamente si se deja que los ciberdelincuentes actúen con impunidad. Esto puede ser tanto a corto plazo, en forma de multas por una prevención inadecuada del fraude, como a largo plazo, en forma de daños a tu empresa que pueden tardar en resolverse y, a su vez, costar mucho dinero.
Daños a tu reputación corporativa
Aunque una empresa no sea directamente culpable, el hecho de que sus clientes sean objeto de estafas de suplantación de identidad puede afectar a la reputación futura de su negocio. Si los clientes ya no confían en una organización, pueden irse rápidamente a otro proveedor. Esto es especialmente cierto si eres un proveedor financiero o una empresa encargada de almacenar de forma segura grandes cantidades de información confidencial de los clientes.
Pérdidas económicas para tu empresa
Las estafas de suplantación de números de teléfono pueden tener un impacto negativo significativo en tu empresa, debido a las pérdidas económicas que pueden generar. Hay varias formas de que esto ocurra, desde la pérdida de negocio que puede suponer una merma de tu reputación, hasta las cuantiosas multas impuestas a empresas de sectores regulados que no mantienen sus datos seguros y protegidos. Incluso en los casos en los que la organización no tiene la culpa directa, el costoso tiempo de inactividad o el tener que devolver el dinero a los clientes pueden seguir sumándose cuanto más ocurra.
Robo de identidad de clientes
Una vez que la información de un cliente se ha visto comprometida, puede ser extremadamente difícil volver a meter al genio en la botella y hacer que su información personal vuelva a ser privada. Por tanto, si se ve comprometida, es probable que tus clientes tengan que dedicar tiempo y esfuerzo a cambiar sus datos siempre que sea posible: un quebradero de cabeza tanto para los clientes como para las empresas.
Angustia emocional y falta de confianza del cliente
A su vez, cuando un cliente es víctima de un ataque de suplantación del número de teléfono, o de otras formas de fraude online, esto puede tener un gran impacto sobre él personalmente. Cambiar la información personal no sólo requiere tiempo y esfuerzo, sino que también puede causar una importante angustia emocional, que se traduzca en una falta de confianza en el futuro. Dados los esfuerzos que hacen las empresas en torno a la incorporación de clientes, la desconfianza o la falta de confianza pueden echar por tierra rápidamente estos esfuerzos.
Hay medidas que puedes tomar tanto para protegerte a ti mismo como para asegurarte de que tus clientes son conscientes de los riesgos potenciales para sus cuentas.
Hay varios conjuntos de datos fidedignos que las empresas pueden utilizar para cotejar los números de teléfono que se relacionan con tu empresa, lo que te ayuda a asegurarte de que estás tomando todas las medidas posibles para protegerte a ti mismo y, a su vez, a tus clientes.
Estos datos los proporcionan organizaciones como los Operadores de Redes Móviles (ORM) y organismos gubernamentales, dependiendo del país/localización desde donde esté registrado el número de teléfono. Se puede acceder a estos datos globalmente y en tiempo real, lo que significa que sólo estás a unos milisegundos de los últimos datos de validación.
Esto permite a tu empresa
Nuestro producto TeleShield puede integrarse en los procesos empresariales existentes para proporcionar información mejorada sobre si un número ha sido asignado por un proveedor de servicios a un cliente o ha sido portado recientemente. Esta información puede utilizarse para proteger a una empresa de una amplia gama de fraudes telefónicos.
A medida que las técnicas de suplantación de números se vuelvan más sofisticadas, es probable que se amplíe el papel de los datos de los números de móvil en la prevención de estas estafas. Los avances futuros pueden incluir técnicas de análisis de datos más complejas, capaces de predecir e impedir las actividades de suplantación antes de que lleguen al consumidor. Además, a medida que evolucionen las leyes mundiales sobre privacidad y seguridad de los datos, también lo harán las estrategias para utilizar los datos de números de móvil.
Mantener segura la información personal y financiera es fundamental. Evita compartir datos confidenciales por teléfono a menos que estés seguro de la identidad de la persona que llama y hayas iniciado tú mismo la llamada. Actualiza periódicamente las contraseñas y la información de las cuentas, activa la autenticación de dos factores en las cuentas vulnerables y vigila los historiales de transacciones para detectar cualquier actividad no autorizada.
Si sospechas que se trata de una estafa de suplantación de identidad, esto es lo que debes hacer:
– No facilites ningún dato personal
– Cuelga y llama al número oficial de la organización a la que la persona que llama dice representar
– Denuncia la llamada a las autoridades pertinentes, incluida la FTC para los residentes en EE.UU.
Comisión Federal de Comercio (FTC) para los consumidores de EE.UU.
Centro Canadiense de Lucha contra el Fraude (CAFC) en Canadá
Action Fraud en el Reino Unido
La suplantación de números de teléfono, el fraude telefónico y otras estafas online constituyen un grave riesgo para las empresas y sus clientes. A medida que las tácticas se hacen cada vez más complejas, es importante que las organizaciones tomen medidas para reducir este riesgo y sigan denunciando las medidas de prevención del fraude que deben adoptarse en los distintos sectores.
Las estafas de suplantación de llamadas se basan en tácticas de ingeniería social que son manipuladoras y pueden causar un daño real a la integridad de una marca cuando sus clientes se convierten en víctimas de fraudes en línea, como mensajes de texto de phishing, falsos cobradores de deudas, estafas de seguros, estafas románticas y otros tipos de llamadas fraudulentas en las que se busca directamente la información personal de las personas.
Dicho esto, ahora también hay varias medidas de seguridad adicionales que tu empresa puede aplicar para ofrecer una mayor protección, mediante una mayor transparencia y conocimiento de los datos del número de teléfono que pueden sugerir un mayor riesgo de fraude.
Para obtener consejos útiles sobre las llamadas flash, puedes leer nuestro artículo relacionado.
Last updated on junio 5, 2023
"Phone number verification plays a critical role in helping to detect and prevent online fraud. TMT ID’s TeleShield product provides easy access to global mobile data, enabling us to enhance the actionable results of our MaxMind minFraud® services."
"BTS (Business Telecommunications Services) is successfully using TMT’s Velocity and Live services to check the status of mobile numbers. This way we make sure we optimize the performance of the service offered to our customers and ensure the quality of terminating traffic to all countries.”
"Working with TMT’s TeleShield service has expanded our ability to detect fraud and minimise the risk to our business. TeleShield brings peace of mind and the opportunity to stop fraud before it affects our customers’ bottom line or the service."
"LATRO relies on TMT’s TeleShield to provide the most up to date and reliable numbering qualification information within our fraud reporting tools, enabling us to protect our customer’s revenues and empowering them to defend themselves against fraudulent numbers."
"TMT is a valued partner that enables us to manage our routing costs effectively. They proactively and continuously expand their operator and country coverage while delivering exceptional customer service. We can always count on them to achieve high-quality results and look forward to our continued collaboration."
"TMT provides us with the most comprehensive numbering intelligence data through their fast and reliable Velocity and Live services. TMT is a trusted partner for us, their products ensure that we continue to optimise the best performance and service to our customers."
"TeleShield from TMT gives 42com the power to detect and target telephony fraud scams internationally, thereby protecting our company from the financial and customer experience impacts of telecommunications fraud."
"It has been a pleasure to work with the team at TMT. They have become an essential provider of accurate numbering data information and Number Portability services globally."
"Deutsche Telekom Global Carrier uses TMT ID as one of their key suppliers for Mobile Number Portability Data services. Deutsche Telekom Global Carrier uses TMT ID’s Velocity MNP solution. This is an ultra-fast query service that optimises the routing of international voice calls and A2P messaging."
Proporcionamos los datos más completos disponibles sobre dispositivos, redes y numeración móvil
Póngase en contacto con nosotros > Habla con un experto >
