Clear Sky Science
Explicaciones basadas en evidencia y con jerga mínima

Clear Sky Science · es

El marco WeDDa para prevenir el smishing y el vishing mediante confianza criptográfica agnóstica al protocolo

· Volver al índice

Por qué las llamadas y mensajes falsos afectan a todo el mundo

La mayoría de nosotros dependemos hoy de nuestros teléfonos para la banca, servicios gubernamentales, entregas e incluso alertas de emergencia. Sin embargo, el sistema telefónico global todavía permite a los delincuentes hacerse pasar por quien quieran—tu banco, un ministerio de salud o la policía—simplemente falsificando el identificador de llamada. Esto ha alimentado un crecimiento explosivo del smishing (mensajes de texto fraudulentos) y del vishing (llamadas de voz fraudulentas), con pérdidas de miles de millones y una erosión silenciosa de la confianza pública en los servicios digitales. Este artículo presenta WeDDa, una nueva forma de reconstruir la confianza en la red telefónica para que un número tenga que demostrarse, no solo alegarse.

Figure 1
Figure 1.

La magnitud del problema

Los autores muestran que las defensas actuales contra llamadas y mensajes fraudulentos son, en su mayoría, reactivas. Las compañías telefónicas y las aplicaciones usan listas negras, aprendizaje automático e informes de usuarios para detectar tráfico sospechoso, pero solo después de que ya ha llegado al usuario. Mientras tanto, los ataques crecen rápidamente: solo el smishing se ha disparado cientos de por ciento en unos pocos años, con pérdidas por miles de millones de dólares. Más allá del dinero, este flujo constante de fraudes genera lo que los autores llaman un “impuesto de confianza digital”: la gente empieza a ignorar mensajes legítimos, los gobiernos tienen dificultades para comunicarse con los ciudadanos y servicios críticos como alertas de emergencia o campañas de salud pierden credibilidad.

El fallo de diseño oculto en las redes telefónicas

En el centro de esta crisis está un error básico de diseño en la infraestructura telefónica mundial. Los sistemas de señalización núcleo como SS7 para llamadas tradicionales y SIP para llamadas por internet se construyeron hace décadas para un pequeño club de operadores confiables, no para un entorno hostil a escala de internet. Estos protocolos permiten que una red le diga a otra: “Esta llamada es desde este número”, sin ninguna forma incorporada de probarlo criptográficamente. Las herramientas modernas como los filtros de spam y los clasificadores de IA intentan entonces juzgar la honestidad de un mensaje después de que la red ya ha aceptado una mentira sobre quién lo envió. Los autores sostienen que mientras la identidad del llamante solo se afirme y no se pruebe, el fraude seguirá siendo inevitable.

Una nueva capa de confianza para identidad verificada del llamante

El marco WeDDa propone añadir una capa de confianza obligatoria dentro de la red, en lugar de depender de aplicaciones o dispositivos del usuario final. Su idea central es crear un “espacio de nombres” verificado para identidades de comunicación y exigir prueba criptográfica en la puerta de enlace donde las llamadas y los mensajes entran en la red. Las organizaciones primero registran sus identidades—usando etiquetas claras y legibles por humanos como Bank_Alerts_City—con una Autoridad de Comunicaciones Verificadas. Esa autoridad emite claves digitales que se vinculan estrechamente a rangos de números y a operadores de red específicos. Cuando se envía una llamada o mensaje, la puerta de enlace de origen lo firma con esas claves; la puerta de enlace receptora verifica la firma contra un registro seguro antes de decidir si dejarla pasar.

Cómo funciona WeDDa en la práctica

Para que sea práctico, los autores diseñan cuatro bloques principales. Primero, un registro nacional almacena las identidades aprobadas, sus números de teléfono y las claves públicas necesarias para verificar las firmas. Segundo, las puertas de enlace de telecomunicaciones e internet realizan las comprobaciones criptográficas en todo el tráfico protegido, bloqueando cualquier cosa que carezca de prueba válida. Tercero, bases de datos especializadas registran intentos fallidos y patrones de abuso, proporcionando a investigadores y sistemas de aprendizaje automático evidencia rica sobre cómo operan los atacantes. Finalmente, una capa enfocada en las personas incluye campañas de concienciación pública y listas transparentes y buscables de números verificados para que la gente pueda ver en qué nombres puede confiar con seguridad. Crucialmente, todo esto puede añadirse a nivel de red sin cambiar los teléfonos de los usuarios.

Figure 2
Figure 2.

Evidencia de simulaciones a gran escala

Dado que es difícil rehacer un sistema telefónico nacional en funcionamiento, el equipo construyó simulaciones de laboratorio de alta fidelidad modeladas sobre la infraestructura de telecomunicaciones de Egipto. Generaron 200.000 llamadas de prueba a través de sistemas tradicionales SS7 y de VoIP basados en internet, mezclando tráfico genuino con varios tipos de ataques de suplantación. En condiciones controladas, cada llamada suplantada que dependía de un identificador falsificado fue bloqueada, mientras que todas las llamadas legítimamente firmadas fueron permitidas, y la demora añadida por el procesamiento se mantuvo en el rango de microsegundos—muy por debajo de lo que un humano podría notar. Los autores subrayan que las redes reales son más desordenadas y los adversarios más creativos, pero estos experimentos muestran que el control criptográfico en las puertas de entrada puede, en principio, detener la suplantación de identidad en la fuente sin ralentizar el sistema.

Límites, desafíos y lo que haría falta

WeDDa no es un escudo mágico contra todo el fraude. No puede detener estafas que usan números reales pero comprometidos, ni puede leer el contenido de las llamadas o detectar guiones manipuladores. También depende en gran medida de la gobernanza: los países necesitarían establecer autoridades confiables, coordinarse a través de fronteras y persuadir o forzar a los operadores a adoptar el sistema. Las redes más antiguas pueden requerir actualizaciones de hardware, y una adopción incompleta dejaría puntos débiles que los atacantes podrían explotar. Por ello, los autores ven a WeDDa como una capa esencial dentro de una estrategia más amplia de “defensa en profundidad” que también incluya educación, protecciones a nivel de aplicaciones y políticas sólidas para las plataformas en línea.

Qué significa esto para los usuarios cotidianos

Para la gente común, la visión detrás de WeDDa es simple: cuando tu teléfono indique que una llamada es de tu banco, la propia red ya habrá verificado un pasaporte criptográfico que prueba esa identidad antes de que el teléfono suene. En un mundo así, el smishing y el vishing que dependen de identificadores falsos serían mucho más difíciles y caros de ejecutar. Aunque convertir este plan en realidad requerirá años de trabajo técnico y coordinación internacional, el estudio ofrece un camino claro hacia redes telefónicas donde la confianza se construye por diseño, en vez de parchearse después de los hechos.

Cita: Salem, M.F.M., Hamad, E.K.I. & El-Bendary, M.A.M. The WeDDa framework for preventing smishing and vishing using protocol agnostic cryptographic trust. Sci Rep 16, 7949 (2026). https://doi.org/10.1038/s41598-026-38539-y

Palabras clave: smishing, vishing, suplantación de identificador de llamadas, autenticación criptográfica, seguridad en telecomunicaciones