¿Qué es STIR/SHAKEN?
STIR/SHAKEN es el marco técnico que utilizan las operadoras de voz estadounidenses para autenticar el identificador de llamada y combatir las llamadas automáticas ilegales y el spoofing. STIR (Secure Telephone Identity Revisited) es el estándar de firma criptográfica desarrollado por el IETF; SHAKEN (Signature-based Handling of Asserted information using toKENs) es el marco para desplegar STIR en la red telefónica de EE. UU. La FCC ha exigido su implementación desde junio de 2021, con niveles de atestación A, B y C que indican la confianza de la operadora originadora en el derecho del llamante a usar el número.
El problema que resuelve STIR/SHAKEN
Durante décadas, el identificador de llamada se basaba en un sistema de honor. El sistema telefónico originador insertaba el número que quisiera en la configuración de llamada y la red receptora lo mostraba. No había verificación criptográfica, ni cadena de confianza, ni nada que impidiera a un actor malicioso poner el número que quisiera en el campo From.
Esto se rompió de forma espectacular con VoIP. Cualquiera con conexión a internet y un SIP trunk podía suplantar cualquier número en cualquier parte del mundo. El resultado fue una avalancha de llamadas automáticas ilegales, suplantaciones de números cercanos, ataques de vishing y fraude en centros de llamadas. Los consumidores dejaron de contestar a números desconocidos, lo que también perjudicó a empresas legítimas.
STIR/SHAKEN es la respuesta del sector: un marco que permite a las operadoras originadoras firmar digitalmente el identificador de llamada y a las operadoras de destino verificar la firma antes de que la llamada llegue al destinatario.
STIR frente a SHAKEN
Los dos términos se usan juntos, y la distinción importa:
- STIR (Secure Telephone Identity Revisited) es un conjunto de estándares del IETF (RFC 8224 y relacionados) que define cómo adjuntar firmas criptográficas a las llamadas SIP.
- SHAKEN (Signature-based Handling of Asserted information using toKENs) es el marco de ATIS/SIP Forum que define cómo se despliega STIR en la red telefónica de EE. UU.: autoridades de certificación, gobernanza, niveles de atestación y flujo de llamada.
STIR es la tecnología. SHAKEN es el despliegue operativo.
Niveles de atestación
Cuando una operadora originadora firma una llamada, incluye uno de tres niveles de atestación que indican su grado de confianza en que la parte que llama tiene derecho a usar el número mostrado:
- A (atestación completa): la operadora conoce al cliente y ha verificado que está autorizado a usar el número de llamada. Es el nivel más alto. Los clientes directos de la operadora originadora con números asignados suelen obtener atestación A.
- B (atestación parcial): la operadora conoce al cliente pero no ha verificado su derecho a usar el número concreto. Habitual para revendedores y agregadores donde la operadora aguas arriba sabe quién llama, pero no a qué número tiene derecho.
- C (atestación de pasarela): la operadora sabe por dónde entró la llamada en su red, pero no conoce al cliente originador ni su derecho al número. Habitual en llamadas internacionales o procedentes de redes no STIR/SHAKEN.
Las operadoras de destino y los proveedores de analítica utilizan estos niveles para puntuar la legitimidad de la llamada. Las llamadas con atestación A tienen muchas más probabilidades de mostrar un indicador de identificador verificado y de sonar. Las de atestación C tienen más probabilidades de marcarse como sospechosas o desviarse a buzón de voz.
Mandato de la FCC y cronología
La FCC viene impulsando el despliegue de STIR/SHAKEN desde 2019. Fechas clave:
- 30 de junio de 2021: las grandes operadoras de voz obligadas a implementar STIR/SHAKEN en sus redes IP.
- 30 de junio de 2022: las pequeñas operadoras de voz (menos de 100.000 líneas de abonado) obligadas a implementar, con prórrogas para proveedores más pequeños con instalaciones propias.
- 30 de junio de 2023: las operadoras de pasarela obligadas a autenticar las llamadas procedentes de redes no IP y de operadoras extranjeras.
- En curso: endurecimiento continuo de los requisitos de mitigación de robocalls, con la Robocall Mitigation Database de la FCC y certificaciones obligatorias para todas las operadoras originadoras.
La FCC también exige bloquear en la pasarela a las operadoras incumplidoras. Las operadoras que no autentican llamadas o permiten que las robocalls ilegales atraviesen sus redes se enfrentan a sanciones serias.
Impacto en los centros de contacto salientes
STIR/SHAKEN importa a cualquier empresa que haga llamadas salientes, sobre todo a centros de contacto, recobradores, servicios de recordatorio sanitario y campañas políticas. Las llamadas que no obtienen atestación A pueden mostrarse como "Spam Likely" o "Scam Likely" en los móviles de los clientes, derivarse automáticamente al buzón de voz o bloquearse por completo.
Para conseguir atestación A de forma fiable, un centro de contacto saliente debe:
- Obtener los números de teléfono de una única operadora o de un número reducido, con asignación documentada.
- Evitar la suplantación (usar números que la operadora no haya asignado al negocio).
- Usar en el campo From el número realmente asignado, no números arbitrarios.
- Registrarse ante la operadora como llamante verificado, aportando documentación del negocio.
Algunas operadoras ofrecen servicios mejorados de identificador de llamada que muestran al destinatario el nombre del negocio y el estado de verificación en los dispositivos compatibles. Se basan en la atestación STIR/SHAKEN pero añaden información de marca y verificación.
STIR/SHAKEN y TCPA
STIR/SHAKEN no sustituye al cumplimiento de la TCPA. Una llamada puede estar perfectamente autenticada y aun así violar la TCPA si es una llamada de marketing automarcada a un número móvil sin consentimiento. Los dos marcos abordan problemas distintos: STIR/SHAKEN autentica el identificador de llamada; la TCPA regula si la llamada está permitida.
Dicho esto, la FCC los trata como conectados. Las operadoras que no implementan STIR/SHAKEN o que a sabiendas permiten que las robocalls ilegales transiten sus redes se enfrentan a sanciones que pueden incluir penalizaciones similares a las de la TCPA.
Límites
STIR/SHAKEN autentica el identificador de llamada. No verifica que el llamante sea quien dice ser ni que la llamada sea legítima. Un estafador todavía puede registrar un número empresarial y usarlo para llamar a la gente. STIR/SHAKEN solo confirma que el número mostrado es uno que la operadora originadora ha avalado. La lucha contra las llamadas fraudulentas se extiende más allá de la autenticación, a las analíticas, listas de bloqueo y educación del consumidor.
STIR/SHAKEN afecta a cómo llegan los centros de contacto estadounidenses a sus clientes. Las llamadas que no obtienen una firma con atestación alta corren el riesgo de marcarse como spam o no conectar. Para los clientes de Paytia que ejecutan campañas salientes o callbacks relacionados con pagos, las decisiones de operadora y gestión de números importan tanto como la configuración del marcador.
La solución de pagos por teléfono de Paytia gestiona la parte de pago seguro de la llamada. El marcador, la operadora y la provisión de números están aguas arriba de nosotros. Trabajamos con clientes estadounidenses que combinan Paytia con configuraciones de llamada saliente verificadas (números asignados por su operadora con atestación completa) para que los clientes contesten al teléfono.
Las llamadas entrantes al centro de contacto no tienen la misma dependencia de STIR/SHAKEN, ya que es el cliente quien las inicia. Para flujos de pago entrantes, consulte los pagos por IVR y los pagos por teléfono asistidos por agente como modelo estándar.
Preguntas frecuentes
¿STIR/SHAKEN detiene todas las robocalls?
No. Autentica que el identificador de llamada está firmado por una operadora originadora con un nivel de atestación declarado. No impide que un actor malicioso con un número empresarial registrado realice llamadas fraudulentas. La analítica, el bloqueo y los reportes de los consumidores, encima de STIR/SHAKEN, hacen la mayor parte del filtrado real.
¿Cuál es la diferencia entre las atestaciones A, B y C?
A significa que la operadora originadora conoce al cliente y ha verificado su derecho a usar el número de llamada. B significa que la operadora conoce al cliente, pero no ha verificado la asignación del número. C significa que la operadora solo sabe por dónde entró la llamada en su red. La atestación A es la que quieren los centros de contacto salientes, porque las atestaciones más bajas tienen más probabilidades de marcarse o bloquearse.
¿Tengo que hacer algo para recibir llamadas firmadas con STIR/SHAKEN?
No. Las operadoras receptoras gestionan la verificación automáticamente. Si su teléfono muestra un indicador de llamante verificado (una marca de verificación, "Número verificado" o un nombre), es el resultado de la verificación STIR/SHAKEN sobre la llamada que está recibiendo.
¿STIR/SHAKEN se aplica a nivel internacional?
Actualmente es principalmente un marco estadounidense, con estándares similares adoptados en Canadá y explorados en otros países. Las llamadas internacionales entrantes a EE. UU. suelen recibir atestación C en la pasarela porque la operadora extranjera no forma parte del marco de confianza de STIR/SHAKEN.
Ready to take secure payments?
Book a demo with our team. We'll show you DTMF masking live, talk through PCI DSS scope reduction, and put together pricing based on your call volume.
Trusted by law firms, insurers, healthcare providers and regulated businesses worldwide. Learn more about Paytia