European Dataspace againts phone fraud
| |

CallTrust DataSpace | El auge de trust frameworks colaborativos frente a la amenaza global del fraude en telecomunicaciones

PorIago Fernández González Reading Time: 13 minutes

El ecosistema global de telecomunicaciones está evolucionando desde esfuerzos aislados hacia un modelo de inteligencia compartida en la lucha contra el fraude telefónico.

Al revisar diversas iniciativas internacionales, se observa que países como el Reino Unido, Australia y Corea del Sur ya están implementando marcos de confianza donde el intercambio de datos en tiempo real entre sectores —telcos, banca y gobierno— es el pilar para neutralizar amenazas antes de que afecten al usuario final. Esta tendencia valida visión de un espacio de datos común europeos del que emana el proyecto CallTrust DataSpace.

La crisis de confianza en el canal de voz y la necesidad de un nuevo paradigma colaborativo

El sector de las telecomunicaciones se encuentra en una encrucijada crítica donde la proliferación de comunicaciones no deseadas, el fraude de identidad y las tácticas avanzadas de ingeniería social están erosionando la confianza básica del consumidor en el canal telefónico. Tradicionalmente, la defensa contra el fraude se ha gestionado de forma reactiva y aislada, con cada operador implementando sus propios firewalls y listas negras. Sin embargo, la sofisticación de los actores maliciosos, que operan de manera transnacional y automatizada, ha demostrado que las estrategias individuales son insuficientes. 

La pérdida económica mundial por estafas superó el billón de dólares en 2024, con el fraude de pagos autorizados (APP) como el principal vector de ataque. En este contexto, surge la necesidad de un cambio de paradigma: la creación de un ecosistema de confianza o «Trust Framework» basado en la centralización de la inteligencia y la compartición de datos en tiempo real. 

CallTrust DataSpace como trust framework

La iniciativa CallTrust DataSpace de Quobis se posiciona en la vanguardia de esta transformación. Al proponer la creación de un Espacio de Datos Europeo específico para el sector de las telecomunicaciones, CallTrust no solo busca mitigar el spam, las robocalls y el spoofing, sino que materializa una visión donde la interoperabilidad semántica y la soberanía del dato permiten una colaboración efectiva entre operadores, empresas y administraciones públicas

La idea central de la colaboración internacional en la lucha contra el fraude se asienta sobre tres pilares fundamentales que CallTrust integra desde su arquitectura base : 

  • Intercambio de hallazgos sobre amenazas en tiempo real para bloquear ataques antes de que lleguen al usuario final, 
  • Articulación intersectorial que une a telcos, empresas (p.e. banca) y gobierno. 
  • Creación de registros centralizados compartidos, como las bases de datos de «No Originación» (DNO) o registros de identificación de remitentes de SMS.

Esta visión no es una propuesta aislada; se encuentra profundamente alineada con las tendencias regulatorias mundiales, las recomendaciones de organismos internacionales como la UIT y la GASA, y los marcos técnicos de estandarización del ETSI y el TM Forum.

¿Cuál es la idea central en las estrategias de colaboración contra el fraude telefónico?

El eje central de las estrategias internacionales de prevención no recae en que cada operador luche de forma aislada, sino en la creación de un ecosistema de confianza («Trust Framework») y la centralización de la inteligencia.

Los aspectos que más frecuentemente encontramos en las diferentes iniciativas de lucha contra el fraude telefónico basadas en la colaboración son:

  • Intercambio de datos en tiempo real: En países como el Reino Unido y Australia, la estrategia central es que el gobierno, el sector financiero y las empresas de telecomunicaciones (TIC) compartan hallazgos e inteligencia sobre amenazas (como sitios maliciosos o patrones de llamadas) en tiempo real para bloquear los fraudes antes de que lleguen al consumidor.
  • Articulación intersectorial (Telcos + Bancos + Gobierno): La mitigación del fraude requiere una coordinación que trasciende a los operadores. Por ejemplo, en Colombia, se identifica que el eje crítico para frenar el fraude es articular a los proveedores de telecomunicaciones con las autoridades (Fiscalía, DIJIN, ColCERT) y el sector financiero, para compartir bases de datos de denuncias y gestionar incidentes de seguridad de forma conjunta.
  • Registros Centralizados Compartidos: La colaboración se materializa en bases de datos comunes alimentadas por toda la industria, como las listas de «No Originación» (DNO), bases de datos centralizadas de números (como propone Ofcom en el Reino Unido) o los Registros de Identificación de Remitentes de SMS, donde los operadores cooperan para rastrear el origen de las comunicaciones sospechosas y bloquearlas globalmente.

Infraestructuras para la colaboración en la lucha contra el fraude

Un aspecto diferencial que CallTrust defiende, y que está en sintonía con reguladores avanzados como ComReg en Irlanda, es la implementación de soluciones de seguridad directamente en los elementos centrales de la red de los grandes operadores. Esta «estrategia de core» permite proteger de forma colaborativa y «en cascada» a los operadores más pequeños, centros de contacto y empresas finales que dependen de la infraestructura del operador host.

El regulador de Irlanda (ComReg) ejemplifica perfectamente esta estrategia técnica:

  • Responsabilidad en los Operadores de Red (Host): Para intervenciones como los cortafuegos de voz (Voice Firewalls) o el bloqueo de SMS, la estrategia es colocar la responsabilidad de filtrar el tráfico fraudulento en los operadores principales de la red, aplicándolo no solo a sus propios clientes, sino a todo el tráfico de terceros (como los Operadores Móviles Virtuales o MVNOs) que termina en su red.
  • Uso de los elementos del Core Network: Esto es factible porque el operador de red principal opera los elementos de la red central (core network elements, como el GMSC o HLR) en nombre de los operadores virtuales o revendedores que no tienen una red central propia. Al implementar el cortafuegos directamente en el core, se filtra el tráfico de todos los actores dependientes simultáneamente.
  • Eficiencia de costos y maximización de cobertura: Esta estrategia es altamente colaborativa y eficiente. Los costos de implementar estas tecnologías en la red central para limpiar el tráfico de los operadores virtuales son marginales gracias a las economías de escala de los grandes operadores. Evita que cada pequeño proveedor tenga que hacer inversiones desproporcionadas en seguridad y garantiza un «escudo» con una cobertura casi total en el país.

Casos de éxito y alineación con iniciativas internacionales

La defensa de CallTrust DataSpace como una solución alineada con el contexto global se refuerza al analizar cómo diferentes naciones están adoptando infraestructuras de colaboración muy similares a las propuestas por Quobis.

Corea del Sur: «Sistema de Bloqueo de Emergencia»

La estrategia surcoreana se centra en un «sistema de bloqueo de emergencia» diseñado para suspender en menos de 10 minutos los números de teléfono utilizados para delitos como el voice phishing.

  • Alianza Público-Privada: Este sistema opera a través del Equipo de Respuesta Integrada para el Fraude Financiero basado en Telecomunicaciones, que articula de forma ágil a:
    • La Agencia Nacional de Policía de Corea (autoridades).
    • Los tres principales operadores móviles (SK Telecom, KT y LG Uplus).
    • El gigante tecnológico Samsung Electronics (fabricantes de dispositivos móviles).
  • Innovación en el Reporte: La agilidad se logra al integrar el reporte ciudadano («easy report») directamente en el hardware de los smartphones de Samsung. Esto permite que la denuncia fluya de forma casi instantánea desde el terminal del usuario hasta la red del operador.
  • Acción Inmediata: Una vez que el usuario reporta, la policía analiza el número y notifica a los operadores, quienes proceden al bloqueo inmediato de la línea infractora por un periodo de siete días.

La justificación de esta rapidez radica en que cerca del 75% de los delitos de voice phishing se consuman en las primeras 24 horas, haciendo vital un bloqueo temprano para cortar el fraude. CallTrust busca precisamente esa agilidad al centralizar la detección en un espacio de datos compartido.

Francia y la Plataforma MAN (Ley Naegelen)

En Francia, la Ley Naegelen (2020-901) obliga a los operadores a reportar estadísticas sobre la autenticación y el bloqueo de llamadas a una infraestructura centralizada denominada plataforma MAN (Mécanismes d’Authentification des Numéros). Este modelo de reporte obligatorio de llamadas desconectadas o bloqueadas por fallos de verificación es el precursor normativo de lo que CallTrust propone como un estándar europeo de transparencia y colaboración técnica.

Brasil: El Sistema Nacional de Combate al Fraude Electrónico

Brasil ha avanzado significativamente a través de la Agencia Nacional de Telecomunicaciones (Anatel), ordenando la creación de canales específicos para que el sector financiero reporte a los operadores los números detectados en fraudes. La normativa brasileña (Despacho 262/2024) impone incluso umbrales técnicos: si un proveedor detecta que más del 10% de las llamadas transferidas tienen códigos irregulares o inválidos, está obligado a registrar un «Informe de Irregularidad» y notificar a las partes responsables de la interconexión. Este monitoreo sistemático del tráfico entrante es un componente core de la propuesta de CallTrust DataSpace.

Finlandia e Irlanda: Validación recíproca de Roaming

Los reguladores Traficom (Finlandia) y ComReg (Irlanda) han implementado medidas técnicas que requieren la divulgación de datos de tráfico entre operadores competidores para validar si un número está siendo falsificado. Este proceso implica que el operador receptor envíe una solicitud técnica al operador dueño de la línea para confirmar el estado de roaming del cliente en el extranjero antes de permitir la llamada. CallTrust facilita este tipo de transacciones técnicas de confianza mediante protocolos de interoperabilidad semántica que garantizan la privacidad de los usuarios involucrados.

Australia: Marco de prevención de estafas

La estrategia australiana se rige por el «Marco de Prevención de Estafas» (SPF), el cual establece responsabilidades claras para todo el ecosistema en la lucha contra el fraude.

  • Cooperación entre Operadores: El Código de Reducción de Llamadas y Mensajes de Estafa obliga a los proveedores de telecomunicaciones a cooperar entre sí para rastrear el origen de las llamadas y los mensajes sospechosos, facilitando el bloqueo rápido de números o identificadores fraudulentos.
  • Compartición de Información Amplia: Todas las empresas involucradas tienen la responsabilidad de compartir información sobre estafas con otros negocios, con el Centro Nacional Anti-Estafas (NASC) y con los reguladores pertinentes, para actuar sobre la inteligencia recibida.

Colombia: Colaboración con las autoridades

El Decreto 851 de 2024 obliga a los Grupos de Acción Unificada por la Libertad Personal (Gaula) a remitir mensualmente a los operadores móviles bases de datos con denuncias asociadas a delitos para que estos procedan con los bloqueos.

Reino Unido: Colaboración intersectorial y defensa activa

El modelo británico destaca por una integración profunda entre sectores. Los bancos operan legalmente bajo consorcios de intercambio de datos (data-sharing consortia) para analizar transacciones y aplicar servicios de puntuación de riesgo en tiempo real. Un ejemplo notable es la alianza de nueve grandes entidades bancarias con Mastercard para trazar el movimiento de fondos a través de redes de cuentas mula.

La Estrategia contra el Fraude de 2023 del Reino Unido promueve el intercambio de información en tiempo real entre el gobierno, el sector financiero y las empresas de TIC para identificar y bloquear fraudes antes de que afecten al ciudadano. En este ecosistema, el Centro Nacional de Seguridad Cibernética (NCSC) juega un papel proactivo mediante la capacidad «Share and Defend», colaborando con operadores y proveedores de internet al compartir hallazgos y feeds de dominios maliciosos en tiempo real para bloquear accesos de forma automatizada.

Singapur: modelo de responsabilidad compartida

La Autoridad de Desarrollo de Medios de Infocomunicación (IMDA) de Singapur propuso un esquema de «responsabilidad compartida».

Este esquema establece que tanto las instituciones financieras como los operadores de redes móviles deben responder económicamente ante los usuarios. Esto ocurre si se demuestra que dichas entidades incumplieron sus obligaciones de seguridad, permitiendo que se materializara una estafa por phishing.

Estados Unidos: certificación obligatoria de esfuerzos contra las llamadas ilegales

La Comisión Federal de Comunicaciones (FCC) de Estados Unidos estableció la base de datos Robocall Mitigation Database (RDM).

El mecanismo central de colaboración consiste en un requisito obligatorio para todos los proveedores de servicios de voz, quienes deben presentar allí certificaciones que detallen los esfuerzos y medidas que han implementado en sus redes para combatir las llamadas ilegales (robocalls).

Marco regulatorio europeo: Soberanía digital y ciberresiliencia

CallTrust DataSpace no nace en un vacío legal, sino que es la respuesta técnica a un paquete de reformas regulatorias de la Unión Europea que buscan recuperar la soberanía sobre las comunicaciones y proteger las infraestructuras críticas. La soberanía digital europea se apoya en cuatro pilares: soberanía de datos (control total sobre ubicación y acceso), soberanía operacional (independencia de proveedores críticos), soberanía tecnológica (estándares abiertos) y soberanía legal (jurisdicción UE).

La Directiva NIS2 y la Ley de Redes Digitales (DNA) de 2026

La transposición de la directiva NIS2 en países como España a través del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad establece la creación de mecanismos de intercambio obligatorio de información sobre incidentes de seguridad. Estos incluyen plataformas nacionales de notificación y seguimiento donde operadores y equipos de respuesta (CSIRT) intercambian información técnica en tiempo real.

La Ley de Redes Digitales (Digital Networks Act – DNA), cuya presentación oficial se sitúa en enero de 2026, pretende modernizar y armonizar las normas de conectividad, simplificando el marco legal para superar la fragmentación normativa que limita la competitividad europea. Un pilar central de la DNA es el refuerzo de la seguridad y la resiliencia, introduciendo planes de preparación a nivel de la UE frente a interferencias externas y riesgos cibernéticos. CallTrust se alinea perfectamente con este «sustrato físico» de la economía digital al proponer un control auditable y cercano de las redes, alejándose de soluciones opacas de terceros países.

Transposición de la directiva NIS2 en España

La estrategia española se fundamenta en la transposición de la directiva europea NIS2 a través del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que establece mecanismos de intercambio de información obligatorios.

  1. Mecanismos de Intercambio Obligatorio:
    • Base de datos de incidencias de seguridad: Gestionada por la Secretaría de Estado de Seguridad, recopila incidentes notificados por entidades esenciales e importantes (como los operadores) para compartir con el sistema judicial y las Fuerzas y Cuerpos de Seguridad.
    • Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes: Un sistema centralizado para que operadores, autoridades y CSIRT intercambien información técnica sobre amenazas e incidentes en tiempo real.
  2. Regulación Específica de Telefonía: Se prevé un Proyecto de Orden Ministerial que obligará a los operadores a bloquear SMS y MMS si los alias utilizados por los remitentes no están debidamente inscritos en un registro compartido gestionado por la Comisión Nacional de los Mercados y la Competencia (CNMVC).

Asociaciones internacionales que apuestan por modelos de colaboración en la lucha contra el fraude digital

La Unión Internacional de Telecomunicaciones (UIT) Recomienda a los Estados Miembros colaborar e intercambiar información sobre actividades fraudulentas (como la apropiación indebida de numeración) y adoptar marcos regulatorios que exijan el envío de información relativa a la identificación del origen de las llamadas (CLI) para frenar la suplantación de identidad.

A nivel mundial, la Global Anti-Scam Alliance (GASA) promueve el enfoque de «Sociedad Completa» (Whole-of-Society) contra el fraude, reconociendo que ninguna plataforma o sector puede resolver el problema de forma aislada. El Global Signal Exchange (GSE), impulsado por GASA y Google, funciona como una cámara de compensación global (clearinghouse) para señales de amenazas, desde URLs maliciosas hasta patrones de abuso a escala de internet. CallTrust DataSpace se concibe como el conector europeo capaz de alimentar este intercambio global con señales técnicas específicas de las redes de voz, mejorando la capacidad colectiva de detección y disrupción de actividades fraudulentas.

La estandarización de APIs a través de la iniciativa Open Gateway de la GSMA es otro hito fundamental. La API «Scam Signal» permite a las instituciones financieras acceder de forma segura y compatible a datos de red telefónica en tiempo real para verificar eventos como llamadas de suplantación que suelen preceder a transferencias bancarias fraudulentas. CallTrust DataSpace podría actuar como el motor de inteligencia soberana que puede procesar esta información internamente en la UE antes de exponer las señales necesarias a terceros autorizados.

Conclusiones: Hacia una infraestructura de confianza europea

La lucha contra el fraude telefónico es una batalla de inteligencia y escala. CallTrust DataSpace no es simplemente una herramienta tecnológica; es la materialización de un compromiso estratégico con la seguridad nacional y la protección del ciudadano.

Al alinearse con iniciativas de éxito en Corea, Francia y Brasil, y al adoptar los marcos regulatorios de la UE como NIS2 y la Digital Networks Act, Quobis ofrece una solución que es técnica, legal y operativamente robusta.

La fragmentación regulatoria y tecnológica ha sido, históricamente, el mayor aliado del defraudador. CallTrust propone eliminar esa ventaja competitiva del criminal mediante un espacio de datos compartido que respeta los más altos estándares de privacidad y soberanía.

En un mundo donde la conectividad digital es la columna vertebral de nuestra sociedad, garantizar la integridad de cada llamada no es solo una necesidad de negocio, sino un imperativo ético y democrático. La visión de CallTrust es compartida por los reguladores, la industria y los organismos de estandarización; es hora de que los operadores den el paso hacia una colaboración que sea la base de la nueva confianza digital en Europa.

CallTrust Dataspace en la MWC26 como parte de la estrategia «Trusted Communications» de Quobis

¿Te interesan los espacios de datos europeos?¿Estás interesado en profundizar en la lucha coordinada contra el fraude telefónico? Pásate por nuestro stand en la MWC.

Publicaciones Similares