Como usuarios de telefonía móvil, al recibir una llamada entrante en nuestro equipo, la mayor parte de nosotros recurrirá inmediatamente a la información de quien llama o caller ID con el objeto de identificar quién intenta contactarse. Ésta es una reacción por demás natural, ya que nos hemos acostumbrado a lo largo de los años a confiar en la información que nos brindan nuestros dispositivos y de esta forma saber quién nos llama tan sólo mirando la pantalla. El problema radica en que no todos están al tanto de que es posible tergiversar tal información, y cibercriminales están sacando provecho de esto.
La característica de identificación de llamada o caller ID nos permite saber quién llama antes de contestar. Normalmente, el número se muestra en el teléfono y si el receptor posee una entrada de contacto asociada a ese número, aparece su nombre. Además, algunos proveedores facilitan la posibilidad de acceder a la identificación del que llama según sus propios registros, suscribiendo a un servicio diferenciado.
¿Cómo se podría alterar la identificación al hacer una llamada?
Con el advenimiento e instauración de la tecnología Voice Over IP o Voz Sobre IP (VOIP), un atacante puede alterar su información de caller ID para simular ser otra persona en una situación ficticia, a fin de obtener datos confidenciales u obtener rédito económico mediante estafas monetarias. Esta técnica de Ingeniería Social es comúnmente conocida como pretexting.
Existen diversas maneras en las que estafadores pueden adulterar su identificación. Una de las más populares es mediante el uso de proveedores especializados en servicios de caller ID spoofing, basados en Internet, como ser SpoofCard.
El proceso funciona de la siguiente manera:
1. El atacante, quien busca enmascarar su número, inicia sesión en el sitio web del proveedor de servicios de spoofing y proporciona la información de pago.
2. Una vez dentro del sitio, provee su propio número -generalmente perteneciente a una tarjeta prepaga adquirida sólo con propósitos maliciosos-, el número de la víctima, y la identificación falsa a ser mostrada a esta última.
3. El proveedor entonces llama al atacante al número suministrado, llama a la víctima, y luego une ambas comunicaciones junto con la información ilegítima.
4. El destinatario de la estafa ve la identificación falsa, contesta la línea, y es comunicado directamente con el atacante.
En el contexto de las nuevas y mejoradas técnicas de Ingeniería Social, caller ID spoofing puede ser sorprendentemente efectivo en el desarrollo de la credibilidad y aceptación por parte de la víctima, factores críticos en cualquier estafa basada en suplantación de identidad. Cuando una persona recibe una llamada sólo dispone de dos datos: la identificación mostrada por el dispositivo, y aquello que dice ser el llamante. Si ambas coinciden, incluso las personas más razonables pueden caer víctimas de engaños.
Una estafa de repercusiones internacionales basada en este tipo de técnicas fue aquella que utilizaba el software de asistencia remota Ammyy Admin, en la cual la víctima recibía una llamada supuestamente originada en el servicio técnico de Microsoft, con el pretexto de alertar la presencia de malware en la computadora. Las víctimas leían identificaciones similares a “MICROSOFT SUPPORT - 1-800-555-1818” y no vacilaban al contestar.
Durante la llamada, se instaba a la víctima a descargar e instalar un programa antivirus, que resultaba ser un spyware. Además, para la compra del software se demandaban a la víctima datos relativos a su tarjeta de crédito, los cuales terminaban siendo vendidos en el mercado negro. Aún hoy podemos encontrar activas variantes de esta estafa, sobre las cuales hablaremos en los próximos días.
En conclusión, estar atentos y desconfiar de identificaciones que puedan parecernos extrañas es una buena práctica a construir y mantener. También lo es no dar crédito tan fácilmente a lo que terceros dicen a través de líneas telefónicas, ni completar transacciones comerciales o brindar información sensible mediante las mismas.
En muchos países, caller ID spoofing es ilegal, así que en caso de que seas blanco de una estafa de este tipo ponte en contacto con la Comisión de Comunicaciones correspondiente a tu país para saber más al respecto. Finalmente, la utilización de motores de búsqueda para realizar un reverse lookup del número telefónico y conocer si se encuentra ligado a una estafa en particular es otra opción a tener en cuenta.