Blog chevron_right Segurança
Segurança

STIR/SHAKEN: O Padrão que Vai Acabar com o Spoofing de Caller ID no Brasil

O STIR/SHAKEN é o framework de autenticação criptográfica de chamadas adotado por operadoras mundiais. Entenda como funciona, o que a ANATEL está implementando e o que muda para empresas B2B.

person

Equipe Voiicr

Voiicr

STIR/SHAKEN: O Padrão que Vai Acabar com o Spoofing de Caller ID no Brasil

O Problema que o STIR/SHAKEN Resolve

O caller ID nunca foi projetado com autenticidade em mente. O protocolo SIP original permite que qualquer gateway insira qualquer número no cabeçalho From sem verificação. Essa lacuna alimenta décadas de fraude: golpes de engenharia social onde o atacante se passa por banco, operadora de saúde ou órgão público; bypass de sistemas de bloqueio baseados em número; e desvio de chamadas legítimas.

No ambiente corporativo B2B, o spoofing de caller ID vai além do incômodo: uma chamada falsificada com o número de um parceiro estratégico pode induzir transferências financeiras ou divulgação de dados sensíveis. O custo médio de incidentes de fraude por voz (vishing) chegou a US$ 14,8 milhões por organização em 2023, segundo a IC3/FBI.

O STIR/SHAKEN (Secure Telephone Identity Revisited / Signature-based Handling of Asserted information using toKENs) é a resposta da indústria: um framework de assinatura digital de chamadas que permite verificar criptograficamente se o número apresentado é autêntico.

Como o STIR/SHAKEN Funciona

1. Autenticação na Origem (Attestation)

Quando uma chamada é originada, o SBC da operadora assina digitalmente um token JWT contendo o número chamador, o número chamado, um timestamp e um nível de attestation. A assinatura usa a chave privada da operadora, registrada em PKI administrada por uma autoridade certificadora aprovada.

O nível de attestation indica o grau de certeza sobre a origem da chamada:

  • Nível A (Full Attestation): A operadora confirmou que o assinante está autorizado a usar o número apresentado — o mais confiável.
  • Nível B (Partial Attestation): A operadora conhece o ponto de origem, mas não confirmou a autorização do número para aquele assinante.
  • Nível C (Gateway Attestation): A operadora apenas sabe que a chamada entrou por um ponto específico, sem informação sobre o originador — aplicável a chamadas internacionais.

2. Transporte do Token (PASSporT)

O token assinado — PASSporT (Personal Assertion Token) — é transportado no cabeçalho SIP Identity (RFC 8225). Cada salto na cadeia de roteamento pode repassar ou atualizar o token. Em troncos sem suporte nativo, o token pode ser encapsulado em campo de extensão sem impacto no roteamento.

3. Verificação no Destino

Na terminação, o SBC da operadora destino extrai o PASSporT, recupera a chave pública da origem via Certificate Repository e valida a assinatura. O resultado é passado ao dispositivo final e pode ser exibido ao usuário ou usado para roteamento automático. Chamadas sem assinatura válida são sinalizadas como "não verificadas" ou bloqueadas por política.

O Cenário Regulatório no Brasil

A ANATEL iniciou formalmente a implementação do STIR/SHAKEN no Brasil em 2023, com consulta pública e definição de cronograma obrigatório para operadoras de grande porte. O modelo americano — onde a FCC tornou o framework obrigatório em 2021 — registrou redução de 72% em chamadas fraudulentas nas redes que implementaram o padrão.

O Brasil implementa três adaptações específicas: (1) Policy Administrator nacional com supervisão da ANATEL, garantindo soberania sobre os certificados; (2) mecanismo OOB (Out-of-Band) para interoperabilidade com redes TDM e SIP legados; e (3) integração com a base de portabilidade da ABECS, essencial dado os 130+ milhões de números portados no país.

O Que Muda para Empresas B2B

  • Chamadas outbound com Nível A: requer que o provedor de SIP Trunk suporte STIR/SHAKEN e tenha os DIDs da empresa em sua base autorizada. Provedores sem suporte resultam em chamadas crescentemente tratadas como suspeitas.
  • Proteção inbound: PABXs modernos podem usar o nível de attestation para priorizar chamadas verificadas de parceiros ou filtrar calls sem assinatura para screening adicional.
  • SBCs próprios: precisarão de atualização de firmware para suporte ao RFC 8225 e integração com o Certificate Repository da ANATEL.
  • Números não registrados: DIDs adquiridos sem contrato direto com operadora SMP/STFC não conseguirão attestation Nível A — a regularização da origem dos números impacta diretamente a entregabilidade das chamadas outbound.

STIR/SHAKEN e a Voiicr

A Voiicr implementou suporte nativo ao STIR/SHAKEN em sua plataforma de E1 na Nuvem e SIP Trunking. Todos os troncos com DIDs formalmente alocados ou portados recebem attestation Nível A nas chamadas outbound, garantindo que ligações para clientes e parceiros sejam identificadas como verificadas pelas redes terminadoras que já operam o framework.

O monitoramento em tempo real do nível de attestation das chamadas inbound está disponível no painel de CDR, permitindo auditar a qualidade da origem das chamadas e configurar políticas de roteamento baseadas no nível de confiança do caller ID.

Artigos Relacionados

Receba nossos briefings

Inteligência sobre segurança em telecom direto no seu e-mail. Só conteúdo relevante. Sem Spam!