Estafas telefónicas con tecnología avanzada

Amenazas

Los lectores de este blog ya están familiarizados con las estafas telefónicas, probablemente ya hayas recibido una o dos llamadas sospechosas. Pero no aceptas ofertas de extraños ni compartes tu información personal cuando hablas con ellos, así que estarás bien, ¿verdad?

Resulta que la respuesta es no, realmente no. No hace mucho tiempo, la Comisión Federal de Comunicaciones (FCC) emitió una advertencia sobre una estafa telefónica inusual. Los estafadores llaman a sus víctimas y hacen una pregunta aparentemente inocente: “¿Me oyes?” la respuesta “Si” es todo lo que necesitan. Reproducir la respuesta afirmativa grabada les permite suscribir a sus víctimas a servicios de pago, los cuales serán incluidos en sus cuentas telefónicas.

El tipo de estafa donde se incluyen servicios adicionales en la cuenta del suscriptor sin su consentimiento (por ejemplo, mensajes diarios de horóscopos o noticias) se llaman cramming.

Considera la gran cantidad de puntos alarmantes acerca de este tipo de estafas. ¿Cómo es posible la existencia de ese cramming? ¿Por qué los funcionarios encargados de hacer cumplir la ley no pueden hacer algo al respecto? ¿Realmente es posible utilizar una grabación de voz para suscribir a alguien a servicios adicionales?

Técnicamente, el cramming es posible porque las compañías telefónicas permiten la inclusión de servicios de terceros en cuentas de suscriptores.

El engaño en sí no es tan nuevo: 800Notes.com, un sitio web que enlista los números de teléfono sospechosos informó a la gente acerca de ello en el 2008. En ese entonces, el truco era usado para imponer servicios en las organizaciones. De acuerdo con aquellos que picaron el anzuelo, las grabaciones de audio estaban editadas de tal manera que hacían parecer que las víctimas estaban de acuerdo con agregar servicios de pago.

Las autoridades están tratando de combatir el cramming; así, en 2015, la FCC obligó a los gigantes de telecomunicaciones Verizon y Sprint a pagar $158 millones de dólares para resolver las reclamaciones de clientes a quienes se les habían impuesto los servicios. Aun así, las técnicas de fraude como el cramming pueden crecer con el desarrollo de las tecnologías modernas.

Banca por voz

Con el crecimiento de la popularidad de la autentificación de voz, en un futuro cercano algo muy similar al cramming puede convertirse en un problema en el sector bancario. Por ejemplo, uno de los bancos más grandes en Reino Unido, Barclays, introdujo la autentificación de voz para todos sus clientes privados en 2016.

La corporación financiera global HSBC también permite a sus clientes aprovechar la autentificación de voz en lugar de utilizar una contraseña. Los clientes tienen que llamar al banco, autentificar por ellos mismos usando una palabra como código, y decir en voz alta, “Mi voz es mi contraseña”.

HSBC afirma que el sistema está protegido contra los intentos de esquivarlo con grabaciones de voz de los clientes. Supuestamente, la tecnología de Biometría de Voz crea una huella de voz que reconoce los matices físicos y de comportamiento del discurso de alguien.

Además, las estafas telefónicas tendrán que encontrar una manera de que un cliente de banco diga la frase secreta completa. Casi no parece posible. Sin embargo, pueden intentar que el cliente hable y vaya diciendo las palabras que necesitan una por una a lo largo de varias llamadas telefónicas.

Cuando sea que alguien invente una forma de engañar a las personas, alguien más buscará la manera para evitar ser engañado. Por ejemplo, Pindrop creó una tecnología que tiene en cuenta diversos factores, incluyendo la ubicación, a la hora de evaluar la autentificación de una persona remota. Por ejemplo, una llamada desde un lugar equivocado del planeta alertará al sistema. Los bancos también utilizan este tipo de tecnología con propósitos antifraude.

Otra señal, aunque no es una señal al 100%, es el canal de comunicación elegido. De acuerdo con las estadísticas de Pindrop, los estafadores utilizan VoIP en el 53% de los casos, mientras que para clientes genuinos la proporción es diferente, tan solo un 7% utiliza VoIP para contactar a sus bancos. Por esta razón el sistema registra automáticamente las llamadas VoIP.

Generalmente, los estafadores suelen tomar contramedidas, por ejemplo, simular una conexión de baja calidad, lo que teóricamente dificulta que el sistema identifique al comunicador. Evidentemente, los estafadores telefónicos pronto ampliarán sus arsenales con nuevas y poderosas herramientas.

No digas nada

El Proyecto VoCo, llamado “Photoshop para voz”, fue demostrado en la conferencia Adobe MAX en 2016.

Después de analizar un fragmento del discurso, el sistema genera una muestra de voz de esa persona incluyendo palabras habladas que no estaban en la fuente de grabación. El invento, según informes de la BBC, ha causado preocupación entre los expertos en seguridad de la información. VoCo, al igual que su antecesor, se puede convertir en una herramienta para comprometer a las personas, o en un método para eludir los sistemas de autentificación del discurso.

Adobe no es el único. Google anunció su propio proyecto para síntesis de voz realista en 2016, y una start-up con sede en Cánada llamada Lyrebird anuncio su tecnología para la generación de voz en abril de 2017. La grabación de un minuto de discurso es suficiente para entrenar al sistema para decir frases al azar con la voz de la persona que ha sido grabada (puedes escuchar una discusión sintetizada entre políticos americanos aquí). Hasta los creadores han admitido que la capacidad de síntesis de discurso es potencialmente peligrosa, especialmente para aquellos dentro de la política.

Los fundadores de Lyrebirds han establecido el problema ético de su tecnología con la siguiente declaración: “Esperamos que pronto todos sean conscientes de que esta clase de tecnología existe y que copiar la voz de otra persona es posible.”

¿Cómo lidiar con todo esto?

1. Los detalles del ataque en el que una víctima es persuadida para decir una sola palabra (“sí”), exige una solución radical. La FCC recomienda no contestar ninguna llamada de números desconocidos. Si alguien realmente quiere contactarte, él o ella te dejarán un mensaje.
2. Nunca reveles datos personales.
3. Revisa siempre tus cuentas y facturas por si hay artículos sospechosos.
4. Un método individual que ofrece algo de protección contra las estafas telefónicas es añadir tu información de contacto en el registro nacional de números que los vendedores telefónicos tienen que excluir de sus listas. Por supuesto, esa opción únicamente está disponible en los países que tienen esa clase de registros, Estados Unidos de América, por ejemplo. En la Unión Europea es un poco más complicado: aunque existen listas nacionales de “no llamar”, no hay un registro para toda la Unión Europea.