STIR/SHAKEN, un marco de seguridad de las comunicaciones, se introdujo en respuesta a las crecientes preocupaciones sobre la prevalencia y los efectos de las llamadas no solicitadas en las redes de telecomunicaciones. Se ha estimado que cada mes se realizan entre 3 y 5 millones de "llamadas automáticas" y que más del 40 % de estas comunicaciones están relacionadas de algún modo con el fraude.
[Fuente de la imagen: magna5global.com]
Para ayudarlos en sus esfuerzos por obtener acceso a información valiosa o activos financieros, los delincuentes a menudo recurren a una técnica conocida como suplantación de identidad. Aquí, utilizan varios métodos para alterar el origen aparente de sus llamadas telefónicas salientes, con la esperanza de engañar al destinatario para que responda lo que creen que es una llamada que proviene de una ubicación, individuo o institución conocida.
En el extremo más moderado de la escala, tal engaño puede ayudar al perpetrador a obtener un oído atento para un discurso publicitario o una encuesta de recopilación de información. En casos más graves, los estafadores y delincuentes pueden utilizar la suplantación de identidad para engañar a los destinatarios de las llamadas para que liberen fondos o divulguen datos confidenciales.
[Fuente de la imagen: ftc.gov]
La Comisión Federal de Comunicaciones (FCC) ha estado promoviendo iniciativas para reducir este tipo de actividad desde 2014. En respuesta, la industria de las telecomunicaciones ha desarrollado el marco de seguridad de las comunicaciones y el estándar tecnológico conocido como STIR/SHAKEN.
De hecho, a partir del 30 de junio de 2021, la FCC adoptó reglas que requieren que los proveedores de servicios de telecomunicaciones implementen una solución STIR/SHAKEN, por lo que definitivamente es algo que vale la pena conocer.
¿Qué significa agitar/agitar?
STIR/SHAKEN es un acrónimo combinado. La parte STIR se deriva de las primeras letras de Revisión de la identidad de telefonía segura y proporciona una declaración de intenciones para lo que se ha creado el marco tecnológico.
SHAKEN es una construcción tomada de la frase Manejo seguro de información afirmada usando tokens. Esto apunta a la metodología digital utilizada en la gestión de datos de comunicaciones, bajo el protocolo STIR/SHAKEN.
Más allá de las letras, STIR es en realidad un grupo de trabajo dentro de un organismo de estándares de Internet conocido como IETF (Grupo de Trabajo de Ingeniería de Internet). Esta organización ha desarrollado un conjunto de protocolos utilizados en la creación de firmas digitales para llamadas telefónicas. SHAKEN abarca los estándares que rigen cómo los proveedores de servicios de telecomunicaciones deben implementar STIR dentro de sus redes. Fue desarrollado formalmente por Alliance for Telecommunications Industry Solutions (ATIS) y está acreditado por el American National Standards Institute (ANSI).
Principios básicos de REVOLUCIÓN/SACUDIDA
El Grupo de Trabajo STIR tiene un estatuto que le obliga a definir mecanismos que permitan la verificación de la autorización de una parte que llama para usar un número de teléfono en particular.
Para lograr esto, el marco STIR/SHAKEN hace uso de certificados digitales, para garantizar la seguridad del número de origen de una llamada telefónica. Estos certificados se basan en las técnicas de criptografía de clave pública común, según las cuales cada proveedor de servicios debe adquirir un certificado digital de una autoridad de certificación en la que confíen otros proveedores de servicios telefónicos.
[Fuente de la imagen: getvoip.com]
En esencia, la tecnología de certificado criptográfico permite que la parte que recibe una llamada verifique que el número que llama es exacto y no ha sido falsificado. En una llamada STIR/SHAKEN, el proveedor de servicios de origen firmará (o certificará) su relación con la persona que llama y su derecho a usar el número que llama.
Dentro del Protocolo de inicio de sesión (SIP) de una comunicación de voz digital, STIR brinda la capacidad de autenticar la identificación de la persona que llama. El protocolo SHAKEN define la arquitectura de extremo a extremo requerida para implementar la autenticación de identificación de llamadas mediante STIR en la red telefónica.
Un flujo de trabajo típico de AGITACIÓN/REVOLUCIÓN
Cuando alguien inicia una llamada telefónica, la parte que llama emite una INVITACIÓN SIP, que va al proveedor de servicios de origen. Una vez recibida, el proveedor verifica la fuente de la llamada y el número que llama para determinar su nivel de certificación. Por lo general, hay tres opciones disponibles:
- En la certificación completa o "A", el proveedor de servicios sabe quién es el cliente y puede garantizar su derecho a usar un número de teléfono en particular.
- En la Atestación Parcial o “B”, el proveedor de servicios conoce al cliente, pero no conoce la fuente del número de teléfono.
- En la Atestación Gateway o “C”, el proveedor de servicios no puede autenticar el origen de una llamada (que podría ser, por ejemplo, una puerta de enlace internacional), aunque el proveedor de servicios origine la llamada en la red.
El proveedor de servicios de origen utilizará un servicio de autenticación para crear un encabezado de identidad SIP cifrado. Este consta de varios elementos, entre ellos:
- El número de donde proviene la llamada
- El número de recepción
- La fecha actual y una marca de tiempo de la llamada
- El nivel de atestación
- Un identificador de origen único, que ayuda a rastrear la llamada
Después de esto, la invitación SIP y el encabezado de identidad SIP se envían al proveedor de terminación, quien pasa la invitación SIP a un servicio de verificación. Si la llamada se verifica con éxito, el proveedor de terminación toma una decisión final sobre si completa o bloquea la llamada. Al tomar esta decisión, tendrán en cuenta el nivel de certificación, así como otros factores, como la información relevante contenida en sus propios análisis de llamadas.
Cómo funciona con más detalle
Detrás de escena, una implementación típica de STIR/SHAKEN consta de varios componentes. Incluyen:
El servidor de autenticación STI (STI-AS): Esto proporciona una interfaz de programación de aplicaciones conocida como REST API, que es responsable de firmar las solicitudes. Para ello, la API tiene acceso a claves privadas en el SKS (Secure Key Store).
El servidor de verificación de STI (STI-VS): Esto proporciona la API REST que desempeña un papel en el procesamiento de solicitudes de verificación. Esta API también recupera claves públicas de la Internet pública utilizando la URL contenida en la solicitud de verificación.
El autenticador: Este es el componente en la red del operador que invoca los Servicios de Autenticación y Firma para crear y verificar firmas digitales.
El almacén de claves seguras (SKS): Dado que cada clave privada utilizada en la verificación STIR/SHAKEN es un secreto que solo conoce el operador que firma la llamada, es importante salvaguardar estos activos. El SKS sirve como depósito seguro para este propósito. También proporciona las claves privadas tal como las utiliza el STI-AS en las solicitudes de firma.
El Repositorio de Certificados STI (STI-CR): Este servidor web seguro aloja certificados públicos y los proveedores de servicios pueden acceder a él a través de la Internet pública. Cada proveedor de servicios con claves privadas SHAKEN en un Secure Key Store debe tener un STI-CR correspondiente donde se publiquen sus certificados públicos.
El servidor de gestión de claves (SP-KMS): Esto proporciona una gestión automatizada de certificados y claves, y cumple una serie de funciones. El SP-KMS solicita y recibe un token de STI-PA a través de una interfaz HTTP, además de solicitar un certificado STI de STI-CA. También genera un par de claves privadas y públicas para firma y verificación, almacenándolas respectivamente en el SKS y el STI-CR.
Aplicaciones actuales y futuras de STIR/SHAKEN
A medida que STIR/SHAKEN se generalice, los sistemas de análisis en tiempo real obtendrán una mayor capacidad para diferenciar entre llamadas falsas y genuinas, y mayor poder para filtrar las malas comunicaciones que pueden afectar la experiencia telefónica de los suscriptores de la red.
STIR/SHAKEN también tiene el potencial de proporcionar una metodología estandarizada para rastrear el origen de las llamadas. Esto ha sido difícil de lograr hasta la fecha, dada la cantidad de redes y conexiones dispares que suelen estar involucradas. Sin embargo, STIR/SHAKEN incluye una función de rastreo estandarizada que representa el punto de origen de una llamada en cada red. Esto abre la posibilidad de agilizar el proceso de rastreo.
En el futuro, la adopción de STIR/SHAKEN también puede hacer posible la creación de algún tipo de pantalla estandarizada, que confirme a los destinatarios de las llamadas que la identificación de la persona que inicia la llamada entrante se ha verificado por completo. Esto podría ser, por ejemplo, una pantalla de Nombre de la persona que llama y Propósito de la llamada.
Para comenzar a usar STIR/SHAKEN para autenticar llamadas en su red ahora mismo, puede acceder a nuestra herramienta gratuita aquí en IDT.
