La regla de llamadas automáticas propuesta por la FCC, publicada el 26 de mayo bajo los expedientes CG Nos. 17-59 y 02-278, pregunta si los proveedores de servicios de voz de origen deben recopilar y conservar los nombres de los clientes, las direcciones físicas, los números de identificación emitidos por el gobierno, los números de teléfono alternativos y los registros de verificación de respaldo antes de otorgar el servicio.
La agencia propone un período de retención de cuatro años una vez que finaliza la relación con el cliente, una pérdida de base de $2,500 por llamada por violaciones de KYC y los comentarios cierran el 25 de junio.
La FCC enmarca la propuesta en torno al problema de que las llamadas automáticas ilegales cuestan a los estadounidenses miles de millones de dólares en fraude y pérdida de tiempo, y la agencia sostiene que los proveedores de origen están mejor posicionados para detener las llamadas ilegales antes de que ingresen a la red.
Para los poseedores de criptomonedas, la propuesta plantea una consecuencia de seguridad de segundo orden que el marco de llamadas automáticas de la agencia no aborda.
Los números de teléfono ya son el centro de la incorporación de Exchange, la recuperación de cuentas de correo electrónico y criptomonedas, la autenticación de dos factores por SMS, las aplicaciones de tecnología financiera y la verificación de atención al cliente.
Mientras más datos de identidad combinen los operadores de telecomunicaciones con cuentas telefónicas, más valiosas serán esas cuentas para los atacantes, y más perjudicial será una violación del operador o un intento exitoso de suplantación de identidad para cualquiera que posea activos que se muevan de manera instantánea e irreversible.
El número de teléfono como responsabilidad de seguridad
La acción de decomiso civil del Departamento de Justicia de septiembre de 2025 contra más de 5 millones de dólares en Bitcoin ilustra cómo la capa telefónica ya se convierte en pérdida de criptomonedas.
Los fiscales describieron los ataques de intercambio de SIM como un método de apropiación de cuentas en el que los atacantes obtienen el control del número de teléfono de la víctima, interceptan códigos de autenticación y los utilizan para autenticarse como víctima en cuentas de correo electrónico, Exchange y fintech.
Cinco víctimas estadounidenses perdieron Bitcoin a través de esa secuencia. El IC3 del FBI registró 1.611 quejas de intercambio de SIM solo en 2021, con pérdidas ajustadas que superaron los 68 millones de dólares, frente a 320 quejas y aproximadamente 12 millones de dólares en pérdidas en los tres años anteriores combinados.
La propuesta de la FCC aumentaría el valor de la cuenta telefónica en su centro.
La propia cuenta X de la SEC demostró que la vulneración de números de teléfono puede ir más allá de las carteras individuales.
En enero de 2024, una parte no autorizada obtuvo el control del número de teléfono asociado con la cuenta X de la SEC en un aparente intercambio de SIM, restableció la contraseña de la cuenta y publicó un anuncio falso afirmando la aprobación de un ETF de Bitcoin al contado antes de que la SEC lo corrigiera.
Los registros KYC ampliados del lado del operador crean material de suplantación más rico para cualquiera que intente el mismo ataque contra objetivos de mayor valor.
Lo que está construyendo la FCC
Los operadores recopilarían nombres, direcciones físicas, números de identificación emitidos por el gobierno, números de teléfono alternativos y potencialmente copias de identificaciones emitidas por el gobierno.
Para los clientes de gran volumen, la FCC también pregunta sobre el uso previsto del servicio y las direcciones IP. Ese paquete de datos permanecería en los sistemas del operador durante 4 años después de la fecha de cancelación del cliente.
La propia FCC pregunta en la propuesta qué riesgos de privacidad pueden surgir de la recopilación ampliada de información de identificación personal y si las protecciones existentes de la industria serían suficientes, o si la agencia necesitaría exigir mayores medidas de seguridad, un reconocimiento de que los datos recopilados crean su propia exposición.
Un registro de operador que vincula un número de teléfono con una dirección física, un número de identificación gubernamental, un contacto alternativo y un historial de servicio se convierte en un objetivo para los atacantes que desean realizar ingeniería social en el servicio de soporte de un operador, presentar una solicitud de transferencia fraudulenta o hacer una referencia cruzada de datos de telecomunicaciones con registros KYC de intercambio.
El investigador de seguridad de Bitcoin, Jameson Lopp, ha argumentado que un servicio telefónico sin KYC puede servir como medida de seguridad personal para las personas sospechosas de tener grandes posiciones en Bitcoin, porque vincular cuentas telefónicas a rastros de identidad aumenta la exposición a extorsión, golpes y ataques de llave inglesa.
El repositorio público de ataques físicos de Lopp contra poseedores de criptomonedas se describe a sí mismo como una lista conocida pero incompleta de ataques al “espacio de carne” del mundo real, lo que respalda el punto de que los objetivos físicos son una categoría de riesgo documentada.
Dos resultados para los poseedores de criptomonedas
La propuesta de la FCC deja abierto si los requisitos KYC se aplican solo a los originadores comerciales de gran volumen o se extienden a los clientes minoristas nuevos y renovados y a las tarjetas SIM prepagas vendidas a través de proveedores externos.
La propuesta pregunta explícitamente sobre el tratamiento prepago y pospago y si los requisitos deberían diferir según los tipos de clientes.
El argumento negativo para los poseedores de criptomonedas es que la recopilación de identidades entre clientes nuevos y renovados, tarjetas SIM prepagas y requisitos de reverificación terminarían efectivamente con el acceso telefónico seudónimo en los EE. UU.
Las bases de datos de los operadores agruparían números de teléfono con direcciones físicas, números de identificación gubernamentales y cuatro años de historial de servicio.
Para cualquiera que opere bajo un modelo de amenaza que incluya el intercambio de SIM, la extorsión dirigida o el ataque físico, la capa telefónica estaría más estrechamente vinculada a la identidad y sería más peligroso perder el control.
Una violación del operador o un compromiso del proveedor a esa escala produciría listas de objetivos direccionables, como números de teléfono con referencias cruzadas con identidades, direcciones e historiales de servicio, un activo de datos sin equivalente previo a escala del operador.
Si la FCC limita el KYC ampliado a los originadores comerciales de gran volumen y deja a los clientes minoristas y prepagos fuera del alcance, la FCC aborda el problema de las llamadas automáticas en la capa de red donde se origina, y la cuenta telefónica minorista permanece fuera de la recopilación de datos ampliada.
| Resultado final de la regla | ¿Quién está cubierto? | Impacto en la privacidad | Riesgo del poseedor de criptomonedas | Artículo leído |
|---|---|---|---|---|
| regla estrecha | Originadores comerciales de alto volumen | Ampliación limitada de la recopilación de PII minorista | Menor efecto indirecto de intercambio de SIM y doxxing para usuarios comunes | Herramienta de aplicación de llamadas automáticas con impacto criptográfico limitado |
| Caso base | Clientes nuevos y renovados, con algunas excepciones de tipo de cliente. | Más datos de identidad vinculados a cuentas telefónicas | Mayor valor para los registros del operador y el abuso de recuperación | La regla de privacidad se convierte en una preocupación de criptoseguridad |
| regla amplia | Usuarios minoristas, SIM prepago, cuentas pospago y reverificación | Se reduce el práctico acceso a teléfonos seudónimos | Honeypot más grande para intercambios de SIM, extorsión, aplastamiento y ataques físicos | Telecom KYC se convierte en una nueva superficie de ataque criptográfico |
| Escenario de incumplimiento | Operador, proveedor o proveedor KYC comprometido | Datos de identidad, teléfono, dirección e historial de servicio expuestos | Listas de objetivos direccionables para atacantes | La solución anti-robocall crea un riesgo sistémico para los titulares |
Ese resultado reduce el riesgo de trampa del lado del operador para los poseedores de criptomonedas individuales y al mismo tiempo le da a la FCC el alcance de aplicación que busca contra los originadores de fraude que impulsan el problema de las llamadas automáticas.
Si esas herramientas también amplían la superficie de ataque para los poseedores de criptomonedas depende del alcance de la regla final: una regla que cubre a los clientes telefónicos comunes produce un modelo de amenaza diferente a uno limitado a los originadores comerciales.