Llamado a la acción: hay que frenar el régimen KYC de la FCC

 (blog.lopp.net)
1 puntos por GN⁺ 4 시간 전 | 1 comentarios | Compartir por WhatsApp
  • El acceso al servicio telefónico en Estados Unidos debe tratarse como infraestructura básica de comunicaciones, pero la revisión de las reglas KYC por parte de la FCC podría hacer que los usuarios comunes tengan que entregar información de identidad antes de contratar o renovar servicios con una telefónica
  • La FCC está evaluando medidas que incluyen verificar nombre, dirección, identificación emitida por el gobierno y un número telefónico alternativo, pero al igual que en los casos de KYC del sector financiero, esto no logra frenar de forma confiable a criminales decididos debido a las filtraciones de información personal identificable y al mercado de compraventa de documentos
  • Los teléfonos prepago y los burner phones no son solo herramientas para el crimen, sino también medios de privacidad necesarios para sobrevivientes de violencia doméstica, denunciantes, periodistas, manifestantes y personas que buscan evitar represalias
  • Evaluar consultas contra listas de las fuerzas del orden, conservar registros por 4 años después de terminar la relación con el cliente y aplicar sanciones de 2,500 dólares por llamada puede llevar a que las telefónicas opten por verificar de más, guardar de más y rechazar de más
  • Este asunto todavía no es una regla final, y la FCC recibirá comentarios hasta el 25 de junio de 2026 y respuestas hasta el 27 de julio de 2026, así que aún hay oportunidad de oponerse al KYC obligatorio para usuarios comunes de telefonía

El problema de las robocalls y la revisión de KYC

  • Las robocalls, llamadas de fraude, suplantación de números, falsas garantías, alertas bancarias falsas y spam político automatizado deterioran la confianza en el sistema telefónico y perjudican el tiempo, el dinero y la seguridad de los estadounidenses
  • El problema de las llamadas ilegales es real, pero la solución no debe ser una verificación de identidad masiva para todos los usuarios comunes
  • Con el argumento de combatir las robocalls, la FCC está considerando reglas de Know Your Customer que harían que los proveedores de telefonía recopilen información de identidad de los usuarios
  • El 30 de abril de 2026, la FCC adoptó un Further Notice of Proposed Rulemaking sobre el fortalecimiento del KYC para proveedores de servicios de voz
  • Entre las medidas en evaluación está exigir la verificación del nombre, dirección, identificación emitida por el gobierno y un número telefónico alternativo del cliente antes de activar el servicio
  • La medida fue aprobada por el presidente Brendan Carr y los comisionados Gomez y Trusty

Por qué KYC no logra frenar de forma confiable a los criminales

  • El acceso telefónico debe tratarse como infraestructura básica, no como un privilegio condicionado a la verificación de identidad
  • El riesgo no está en que la FCC quiera castigar a los estafadores de robocalls, sino en meter a millones de usuarios inocentes en bases de datos de identidad telecom para incomodar a criminales
  • Aun con los requisitos KYC del sistema financiero, el lavado de dinero sigue ocurriendo a través de canales regulados
  • Los criminales no tienen grandes dificultades para conseguir documentos que les permitan pasar verificaciones KYC
  • La información personal identificable se sigue filtrando y existe un mercado para comerciar con esos datos, mientras que el costo de comprar nuevas identidades y documentos relacionados es bajo

Los burner phones son una herramienta importante

  • La FCC está evaluando si los requisitos KYC deben diferir entre planes prepago y pospago, qué información obtienen los proveedores móviles de clientes con SIM prepago y si KYC debería aplicarse también a servicios prepago comprados en puntos de venta de terceros
  • Este punto está en el centro del tema de los burner phones, y los teléfonos prepago no son solo utilería de criminales en las películas
  • Los teléfonos prepago pueden ser un salvavidas para sobrevivientes de violencia doméstica, trabajadores que denuncian irregularidades en el trabajo, periodistas que protegen sus fuentes, manifestantes que buscan evitar represalias y personas que no quieren vincular todas sus cuentas de comunicación a una identificación gubernamental
  • Jay Stanley, analista senior de políticas de la ACLU, advirtió que esta reglamentación podría quitarle a la gente la posibilidad de conseguir burner phones y perjudicar a personas de bajos ingresos, víctimas de violencia doméstica y personas que valoran la privacidad
  • La comunicación anónima o seudónima no es, por sí misma, una conducta sospechosa

  • Teléfonos sin KYC como táctica de seguridad y privacidad

    • Los servicios telefónicos sin KYC se han usado durante años como táctica de protección de seguridad y privacidad
    • Las personas que podrían ser vistas como poseedoras de una cantidad importante de Bitcoin necesitan una privacidad fuerte para protegerse de ataques con llave inglesa
    • Esta amenaza no es teórica: cientos de bitcoiners han sufrido ataques físicos, y también existen casos de swatting y extorsión

Riesgos de una estructura de vigilancia, retención y sanciones

  • La parte más inquietante de la propuesta de la FCC va más allá de la recolección generalizada de identificaciones
  • En relación con diferencias de KYC basadas en riesgo, la FCC incluso está evaluando si los proveedores deberían consultar listas mantenidas por las fuerzas del orden sobre terroristas, organizaciones terroristas y “criminales”
  • Estas listas pueden generar falsos positivos, incluir a personas inocentes de manera opaca y llevar a negar el acceso a infraestructura básica de comunicaciones sin condena penal ni un debido proceso significativo
  • Aunque la FCC lo plantee como una pregunta y no como una decisión final, sigue siendo una pregunta demasiado riesgosa como para que un regulador de telecomunicaciones la normalice

  • Retención prolongada y ampliación de propósito

    • La FCC está considerando exigir que se conserve la información KYC y los registros de soporte durante 4 años después de terminar la relación con el cliente
    • El riesgo no termina cuando se cancela el servicio: la información identificable puede permanecer durante años en las bases de datos de las telefónicas
    • La información retenida puede quedar expuesta a brechas, uso indebido, citatorios, venta o ampliación de propósito
    • La FCC también está evaluando si reglas KYC más estrictas podrían ayudar en investigaciones criminales más allá de las llamadas ilegales, incluyendo crimen organizado, trata de personas, espionaje, operaciones de influencia y otras preocupaciones de seguridad nacional
    • Si los proveedores de telecomunicaciones tienen que verificar, guardar, volver a verificar y filtrar a sus clientes, el sistema telefónico se parecerá más a un cuello de botella que a una red abierta de comunicación

  • Estructura de sanciones por llamada

    • La FCC está evaluando un esquema en el que las violaciones de KYC se midan por llamada
    • La FCC propuso específicamente una multa base de 2,500 dólares por llamada
    • Si las multas por filtrar de menos pueden crecer según el volumen de llamadas, los proveedores podrían optar por verificar de más, guardar de más y rechazar de más para protegerse
    • La opción más segura para una empresa podría no ser la que protege la privacidad del consumidor, sino la que la vulnera de forma severa

La privacidad no es un crimen

  • En una sociedad libre, no debería hacer falta que los ciudadanos tengan que luchar constantemente para proteger su privacidad
  • Si el gobierno quiere debilitar derechos ciudadanos mediante vigilancia, retención de datos y negación de acceso a herramientas esenciales de comunicación, debe demostrar que eso está justificado
  • Quienes buscan controlar los canales de comunicación necesitan poder identificar a los usuarios de la red para silenciar a quienes no quieren escuchar
  • La FCC puede apuntar a emisores comerciales de alto volumen, proveedores negligentes, infraestructura para suplantación de números, abuso de SIM-box y actores reincidentes maliciosos sin obligar a todos los usuarios comunes a presentar documentos de identidad para obtener un número telefónico
  • La FCC puede reforzar la aplicación contra telefónicas que conscientemente facilitan tráfico de llamadas ilegales
  • Puede imponer requisitos de diligencia más acotados y basados en riesgo a los remitentes masivos
  • Debe evitarse un modelo en el que todos los usuarios de telefonía tengan que demostrar quiénes son antes de poder comunicarse
  • El ciudadano promedio no quiere que el gobierno haga listas de personas que realizan actividades completamente normales
  • No quiere una situación en la que la “protección al consumidor” se convierta en vigilancia, la privacidad sea tratada como una grieta del sistema y las reglas contra robocalls terminen silenciosamente con el último método práctico de acceso telefónico sin permiso gubernamental

Cómo KYC aumenta los riesgos reales

  • KYC podría llamarse “Kill Your Customer”, porque la propia recolección de información personal identificable sensible pone en riesgo a los clientes
  • Los regímenes KYC han provocado durante años filtraciones masivas de datos, y además debilitan su propia confiabilidad al facilitar que criminales consigan nuevos documentos para evadir verificaciones KYC usando identidades robadas
  • En servicios telefónicos, KYC puede empeorar activamente la seguridad de las cuentas al vincularlas con la identidad real
  • Si un criminal obtiene suficiente información personal identificable, puede hacerse pasar por la víctima ante la telefónica e intentar transferir su número a una SIM controlada por el atacante
  • Este problema de SIM swapping o secuestro de SIM existe desde hace más de una década y sigue empeorando a medida que más partes de la vida se digitalizan
  • Una parte importante de las cuentas en línea críticas está vinculada a números telefónicos y direcciones de correo electrónico

  • Ruta común de ataque en secuestro de SIM

    • El criminal roba el número telefónico de la víctima
    • Usa ese número para restablecer el acceso a la cuenta principal de correo de la víctima
    • Usa la cuenta de correo y el número telefónico para restablecer el acceso a cuentas financieras
    • KYC se presenta como una forma de frenar criminales, pero en la práctica se parece más a teatro de seguridad que debilita la privacidad y la seguridad en lugar de proteger a los consumidores de actores maliciosos
    • No se debe expandir un sistema roto a más áreas de la vida

Aún no es tarde

  • Este asunto todavía no es una regla final
  • La FCC está solicitando comentarios sobre este cambio propuesto en el Federal Register
  • La fecha límite para enviar comentarios es el 25 de junio de 2026 y la fecha límite para respuestas es el 27 de julio de 2026
  • Es posible presentar comentarios públicos ante la FCC en contra de la verificación obligatoria de identidad bajo KYC
  • Los comentarios pueden enviarse mediante el formulario de la FCC
  • Los comentarios ante la FCC son públicos, así que debe asumirse que cualquier dato personal incluido en el texto o en los archivos adjuntos podría quedar visible en línea
  • No debe incluirse información personal que no sería segura si quedara expuesta públicamente en todo el mundo

Puntos clave del comentario propuesto

  • Me opongo a cualquier regla de la FCC que exija a usuarios telefónicos comunes y usuarios prepago proporcionar números de identificación emitidos por el gobierno, documentos de identidad, dirección real, número telefónico alternativo o datos personales similares como condición para obtener o renovar servicio telefónico
  • Las robocalls y las llamadas fraudulentas son un problema serio, pero la recolección obligatoria de identidad para todos los usuarios es demasiado amplia, invade la privacidad y probablemente dañe a usuarios que legítimamente necesitan privacidad
  • Entre los usuarios potencialmente afectados están sobrevivientes de violencia doméstica, periodistas, denunciantes, ciudadanos de bajos ingresos, organizadores políticos y personas que enfrentan represalias o acoso
  • La FCC debe rechazar cualquier requisito de consultar listas de vigilancia de las fuerzas del orden o listas de “criminales” antes de prestar servicio
  • El acceso a infraestructura básica de comunicaciones no debe depender de listas opacas, sistemas de filtrado vulnerables al abuso y a falsos positivos, ni de procesos con poca transparencia
  • La FCC también debe rechazar cualquier propuesta para conservar durante varios años los registros KYC de clientes comunes
  • Guardar información de identidad y registros de soporte después de que un cliente deja el servicio crea riesgos innecesarios de filtración, uso indebido y vigilancia
  • La FCC debe aplicar medidas acotadas y basadas en evidencia contra emisores ilegales de alto volumen, abuso de suplantación de números, operaciones de SIM-box y proveedores que de forma intencional o temeraria facilitan tráfico ilegal
  • Cualquier nueva regla debe ser dirigida, proteger la privacidad y minimizar la recolección de datos, además de preservar el acceso de usuarios legítimos a servicios telefónicos prepago y orientados a la privacidad
  • El servicio telefónico no debe convertirse en un puesto de control de identidad
  • Los estadounidenses preocupados por la erosión continua de la privacidad deben alzar la voz ahora

Lecturas relacionadas

1 comentarios

 
GN⁺ 4 시간 전
Opiniones de Hacker News

  • Bastaría con que las operadoras no permitieran la suplantación del número de origen
    Ni siquiera hace falta el nombre, pero si hay un número real se pueden denunciar este tipo de fraudes
    Aunque se permita ocultar el número, por defecto todos los teléfonos no comerciales deberían bloquear las llamadas con número oculto

    • Qué pasó exactamente con SHAKEN/STIR
      ¿No se suponía que esto ya iba a estar resuelto desde hace como 5 años? No sé si les da miedo bloquear de verdad a las operadoras que envían volúmenes masivos de spam
      Viendo que todavía sigo recibiendo montones de llamadas spam, algo salió mal o va tan lento que ya no se distingue de que haya salido mal
    • ¿Cortar una estructura de lavado de dinero de millones de dólares al año que presta ese servicio a organizaciones de fraude? Sí, claro, cómo no
    • Eso ya no está permitido
      Si una operadora acepta llamadas falsificadas, ya está violando las directrices de la FCC
    • Las instituciones médicas ocultan su número por motivos totalmente válidos
      Si hay un cónyuge abusivo, muchas veces no quieren que el número de una institución médica quede en el registro de llamadas
      Como resultado, a veces se terminan ignorando llamadas muy importantes
    • De entrada no entiendo por qué seguimos usando un sistema telefónico del siglo XX
      ¿Por qué no existe un mejor sistema de direccionamiento para llamadas?

  • Peor aún: los celulares siempre transmiten su ubicación, así que en la práctica siempre les están informando su información de ubicación a cientos de empresas y a varios gobiernos
    Ya es un problema en la mayoría de los celulares, y aplicarlo también a los prepago lo empeora más

    • Me pregunto si esto no es, al final, un paso más hacia “ahora ya tenemos tanto una causa suficiente como una identidad verificada para arrestar a cualquier usuario por decir algo que no nos guste”
      La FCC de Carr, en resumen, parece un organismo que quiere controlar el discurso controlando las ondas. Por sus acciones, eso parece un hecho bastante explícito
      Después de lograr que las emisoras digan lo que quiere, ¿qué queda sino ampliar un poco la definición de interés público hacia internet y restringir el discurso?
    • Apple implementó una función en su nuevo módem para mitigar esto, pero por desgracia es de aplicación opcional por parte de la operadora, así que en la práctica solo sirve en Europa
      https://www.pcmag.com/news/apple-expands-this-location-focus...
    • Al final, parece que vamos directo al día en que el teléfono que pasó KYC se deja en un cajón de la casa en la dirección oficial que ya conoce la operadora, y encima se le instala software para reenviar por VoIP los SMS y las llamadas al teléfono real o abrir un servidor para recoger mensajes desde cualquier lugar
    • Es el celular el que transmite la ubicación, no nosotros
      Puedes dejar el celular en casa al salir
    • Los que hacen recolección downstream se van a divertir muchísimo con estos datos

  • Vivo en Estados Unidos y uso servicio prepago porque no quiero dar información para revisión crediticia para obtener un servicio pospago
    No hay absolutamente ninguna razón para que una operadora estadounidense tenga que guardar la información de identificación personal más sensible de sus clientes
    Todas las grandes operadoras tienen historial de filtraciones y de vender datos de clientes
    Las telefónicas ya rastrean, almacenan y venden muchísimos puntos de datos de sus clientes
    No se les puede confiar ningún dato

    • Mi número principal es una cuenta de Google Voice desde 2010
      No está claro cómo me afectarían las nuevas reglas, pero no creo que exista obligación de dar información de identificación personal para obtener un número VoIP
    • En enero activé ATT prepago y aun así tuve que entregar identificación
      Lo raro es que no me la pidieron desde el inicio, sino después, cuando intenté activar el servicio de verdad. No sé qué habrá pasado
    • Por otro lado, desde mi punto de vista, me gustaría que cualquier línea desde la que se pueda llamar o enviar mensajes a mi teléfono pudiera rastrearse hasta un ser humano real con nombre y apellido que pueda responder por spam, abuso y acoso
      Parece difícil conseguir ambas cosas a la vez
      Una posible solución es permitir líneas anónimas, pero que mi operadora se niegue a conectarme llamadas desde esas líneas
      Claro, el mismo principio también habría que extenderlo a los datos y al tráfico IP generado por dispositivos. Si no quieres ser rastreable, también parece razonable que un servicio tenga derecho a negarse a procesar el tráfico IP que generaste
      ¿Basta con este nivel medio improvisado de acceso a la red?

  • “Al marcar esta casilla, reconoce que está presentando un documento en un procedimiento oficial de la FCC. Toda la información presentada, incluido su nombre y dirección, se hará pública en la web.”
    ¿De verdad no hay manera de enviar un comentario simplificado a la FCC sin que toda mi información personal quede pública en la web? Uf

    • Es como firmar una petición o testificar ante el Congreso
      La clave está en hablar con responsabilidad bajo tu nombre real
      Y si crees que tu nombre y dirección son privados, tengo malas noticias
    • Si quieres tener influencia como ciudadano, tienes que dar la cara. De hecho sí hacen verificación cruzada
      Que sea público por defecto es un poco excesivo y enfría la expresión, pero también es importante que el registro federal mantenga todos los comentarios públicos disponibles en la web
      Este es un comentario oficial que queda en el expediente
    • En lugar de eso, puedes llamar al legislador que representa tu distrito

  • Creo que la solución real para el fraude, el spam y las robollamadas no es un simple número de origen, sino transmitir también información de REAL(TM) Caller ID que realmente se facture, y permitir que el receptor pueda colgar fácilmente cuando ambas no coincidan
    No conozco los detalles técnicos exactos de Stir/Shaken, pero alguien paga o cobra dinero por cada llamada, y esta información debería mostrarse de forma transparente al receptor de la llamada o del mensaje
    Si hay un motivo “legítimo”, como un médico o un call center, entonces ya debería existir una línea comercial separada, no permitir que usen una línea personal
    A las operadoras laxas hay que bloquearlas por completo. De ahí no sale nada bueno
    Básicamente, la idea es bloquear por defecto llamadas y mensajes de texto salvo que el cliente opte explícitamente por aceptarlos si no tienen el nivel completo de certificación A-level. No sé quién se tomaría la molestia de optar por eso

    • Estaba asintiendo de acuerdo, hasta que me di cuenta de que aquí claramente debe de haber una trampa
      Si fuera tan simple, probablemente ya se habría implementado hace mucho
      Supongo que existe el requisito de que cualquier número funcional deba poder llamar a servicios de emergencia, y parece que están explotando ese hueco
      Así que la respuesta de la FCC parece ser que, si todos los números tienen que funcionar, entonces empujen la verificación directamente al suscriptor

  • Para impulsar la acción, hace falta crear un mejor llamado a la acción
    El enlace mencionado en el artículo es este
    https://www.federalregister.gov/documents/2026/05/26/2026-10...
    Parece casi suficiente para llegar a este enlace que alguien publicó en HN hace unos días
    https://www.fcc.gov/ecfs/filings/express
    Para completarlo, hace falta el docket-id
    Docket No: 17-59
    Este número de expediente también se puede verificar aquí: https://www.fcc.gov/document/fcc-seeks-comment-enhanced-know...

    • La gente debería enviar comentarios no solo a la FCC, sino también a ese enlace del Federal Register
      El FR es la vía oficial para que la ciudadanía comente propuestas de regulación de una agencia
      Es independiente, así que podría llegar más lejos, y conviene hacer ambas cosas

  • Hace falta un nuevo sistema telefónico en el que los “números de teléfono” estén diseñados para ser desechables
    Los números de teléfono fueron diseñados bajo la idea de que debían poder memorizarse fácilmente, pero hoy en día eso ya no parece muy necesario
    Debería poder descartar mis datos de contacto en cualquier momento y redistribuirlos yo mismo directamente
    La idea de que los números antiguos se reciclen tampoco tiene ningún sentido

    • Hay que eliminar el teléfono como tal
      Nadie debería poder hacer sonar el timbre al azar para molestar a otra persona y exigir su atención

  • En vez de conoce a tu cliente, quizá sería mejor hacer “verificación de empresas”, para que el consumidor reciba información sobre la empresa a la que está llamando

  • Intenté enviar un comentario a la FCC con el enlace del artículo, pero reCAPCHA no me reconoce como persona
    Después de resolver como 20 acertijos con éxito, me rendí
    Así es como funciona nuestra democracia

  • ¿Hay alguna razón especial por la que no se pueda argumentar en los tribunales contra el gobierno estatal, el federal o ambos, que están causando daño económico al crear oportunidades para que se robe información de identificación personal?
    Claro, esa pelea no generaría mucho dinero, pero prácticamente cualquier PAC podría costear algo así
    Si se argumenta que hay dinero en juego y no la seguridad real de las personas, parecería menos probable que lo desechen, dado cómo funciona el sistema judicial

    • Sería difícil convencer si en realidad no has sido víctima de fraude
      ¿Qué cantidad en dólares usarías como referencia del daño? ¿Cobrarías algunos años de monitoreo de crédito? Ese suele ser el remedio que se ofrece a las víctimas de filtraciones de información personal
      Se podría intentar una demanda colectiva o algo parecido alegando que las fuerzas del orden, las telefónicas y los reguladores no hicieron lo suficiente para prevenir el fraude, pero sería una afirmación bastante forzada
    • El gobierno puede crear regulaciones que causen perjuicio económico a la gente
      Es muy probable que esa pelea esté perdida desde el inicio, y además no habría mucho dinero por obtener