Llegamos a ustedes gracias a:



Reportajes y análisis

El fraude telefónico está vivito y coleando

[16/10/2009] Casi desde que ha habido llamadas de larga distancia, ha habido fraudes telefónicos. Desde quienes se meten al sistema telefónico para hacer llamadas sin pagar, a trabajadores internos corruptos o hackers externos, los estafadores han encontrado una forma de hacer que el crimen pague. Pero tres tendencias relacionadas con este viejo crimen lo están trayendo hacia el primer plano una vez más, creando dolores de cabeza para los administradores corporativos.

Uno, es cada vez más obvio que los perpetradores de los fraudes telefónicos están altamente organizados, operando sindicatos multinacionales que participan en fraudes multimillonarios. Dos, el extenso despliegue de VoIP y las comunicaciones unificadas (UC) están abriendo nuevos vectores de ataque. Y tres, las víctimas del fraude telefónico ya no son en primer lugar los proveedores de servicios, sino empresas de todo tipo y tamaño.
En junio, el gobierno de los Estados Unidos anunció que había quebrado un círculo de fraude telefónico de 55 millones de dólares, que estaba operando internacionalmente y apuntaba hacia PBX corporativas. Si bien los detalles del fraude todavía están emergiendo, de acuerdo a un expediente del gran jurado, el anillo operaba principalmente fuera de Italia y España. Los supuestos líderes del círculo pagaban a hackes en las Filipinas para apuntar a empresas en los Estados Unidos, y hackear las PBX de las compañías, generalmente usando técnicas tan simples como la rotura de contraseñas por la fuerza bruta.
Los estafadores luego controlaban las PBX hackeados y, a través de varios métodos, las usaban para hacer llamadas de larga distancia. Ellos monetizaban la estratagema abriendo centros públicos de llamadas de larga distancia en Italia y España, presumiblemente cobrando a los individuos por hacer este tipo de llamadas.
Las autoridades policiales de Estados Unidos dicen que los estafadores acumularon 12 millones de minutos en uso del teléfono, lo cual se ha estimado que representa 55 millones de dólares en cargos fraudulentos a lo largo de varias empresas y proveedores de servicio afectados por la estratagema.
Es claro que grupos técnicamente sofisticados están haciendo uso de la infraestructura ubicua de telefonía y datos para elevar la facilidad y frecuencia de estos crímenes a nuevos niveles. Y ellos están encontrando formas cada vez más creativas de hacer dinero con ellas al explotar a sus víctimas.
Viejo crimen, nueva red, nuevos objetivos
Si bien el círculo de fraude telefónico de 55 millones de dólares parece haber apuntado a PBX tradicionales, aprovechando prácticas inadecuadas de contraseñas, el nuevo mundo de la telefonía VoIP plantea igualmente nuevos riesgos de fraudes.
De hecho, una red VoIP que utiliza troncales de Session Initiation Protocol (SIP) para conectividad PSTN, puede crear un mayor potencial para pérdidas debido a fraudes telefónicos que la conectividad T1 TDM tradicional. Por ejemplo, un gateway de medios comprometido con dos T1 podría rendir potencialmente unos 2,750 minutos de llamadas por hora para que un estafador los explote. En contraste, una troncal SIP de aproximadamente un ancho de banda equivalente, y usando un algoritmo de compresión común, podría proveer seis mil minutos de llamadas por hora. Así que, como mínimo, una troncal SIP provee al menos el doble de la cantidad de minutos de uso para explotar, y quizás varias veces más si el uso de ancho de banda puede ser aumentado durante las horas que no son pico.
En el escenario más básico, un estafador de VoIP explota una vulnerabilidad para ganar acceso a la IP-PBX o al servicio de larga distancia, o a ambos. Hay cuatro errores comunes de configuración en la arquitectura de seguridad de VoIP y UC que pueden incrementar el riesgo de este tipo de explotación:
1. Una débil autenticación de usuario y control de acceso. Muchas empresas que despliegan formas más robustas de autenticación de usuarios para conectividad de datos, como autenticación de dos factores basada en token, fallan en extender esta autenticación a sus terminales telefónicos usando la misma infraestructura congregada.
2. Confiar únicamente en controladores de borde de sesión o gateways de medios para proveer seguridad. Los controladores de borde proveen interoperabilidad crítica de red y funcionalidad de demarcación relacionada, ayudando a manejar los límites entre redes cuando terminan las troncales SIP. Sin embargo, la autenticación, el control de acceso, la encriptación y la funcionalidad de mitigación de amenazas de los controladores de borde y los gateways de medios son deficientes cuando se trata de proteger contra problemas de seguridad en las capas de la aplicación. Estos problemas permitirán a un estafador conducir un reconocimiento y trazar un mapa de los sistemas internos para ganar conocimiento de las extensiones a explotar, e ingresar usando identidades falsas para ganar acceso al PSTN.
3. Separación y control inadecuados de la LAN virtual. Una práctica común y necesaria para mejorar la seguridad en una red VoIP es crear Redes de Área Local virtuales para segregar lógicamente el tráfico de voz y datos. Sin embargo, como un mecanismo de seguridad, la separación de VLAN es fácil de derrotar para un moderadamente sofisticado atacante. Aún más, se ha descubierto que las vulnerabilidades de VoIP permiten a un atacante ganar control sobre una PC corriendo un software de VoIP, y comprometer toda la red de VoIP y datos, incluyendo el acceso a todas las funciones de telefonía que pueden ser explotadas para fraude telefónico. La separación de VLAN, aunque es necesaria, no debería ser vista como seguridad completa, sino que debe ser complementada con otros controles de seguridad.
4. Inadecuado uso de la encriptación. El uso defectuoso o inconsistente de la encriptación es el principal problema de seguridad en muchas arquitecturas de seguridad. Si bien la encriptación es generalmente empleada para las comunicaciones que atraviesan el DMZ corporativo y cruzan redes no confiables como la internet, las empresas generalmente apagan la encriptación en las comunicaciones internas para resolver problemas o por problemas de desempeño. Muchas brechas de seguridad y datos en movimiento recientes y de alto perfil se han originado de atacantes que ganan acceso a redes internas e interceptan tráfico sin encriptación. Para ese atacante, se vuelve una simple cuestión de robar credenciales para hacer llamadas de larga distancia.
Ninguna de estas vulnerabilidades implica que VoIP o UC son menos seguras de manera inherente que la telefonía TDM tradicional. En lugar de eso, una adecuada arquitectura de seguridad VoIP es construida sobre el reconocimiento de que los enfoques clásicos a la seguridad de los datos y la seguridad de la red, deben ser complementadas por seguridad en las capas de las aplicaciones, la cual satisface las necesidades de las aplicaciones de comunicaciones en evolución.
La seguridad en las capas de las aplicaciones dentro de las configuraciones comunes, involucra establecer un mecanismo estándar para monitorear todas las señales y medios de todo el tráfico VoIP y UC que ingresa a la empresa o que accede a cualquier sistema de núcleo. Las típicas implementaciones de sistemas de seguridad a nivel de las aplicaciones incluirán funciones tales como detección y mitigación de amenazas basadas en firmas, aplicación de la política de seguridad por usuario o por aplicación, control y autenticación de acceso, y funciones similares.
Las empresas también están proactivamente abordando las amenazas de fraudes telefónicos a través de la conducción periódica de evaluaciones de seguridad de VoIP y UC, incluyendo pruebas de penetración cuando sean apropiadas. Estas pruebas de penetración se parecen mucho a las pruebas de penetración de datos usadas por las empresas para mantener la conformidad con los estándares de privacidad, tales como aquellos usados por la industria de las tarjetas de pago para el procesamiento de tarjetas de crédito. Una evaluación de VoIP o UC puede descubrir agujeros de seguridad que crean aperturas para que los estafadores telefónicos se apliquen diligentemente.
Los profesionales de la seguridad corporativa y los administradores TI que reconocen el paradigma cambiante de la seguridad, y le hacen frente al reto serán aquellos mejor capaces de defender sus empresas ante el fraude telefónico. Y ellos serán los menos probables en ser sorprendidos por la inesperada cuenta de 55 millones de dólares en el correo.
Adam Boone, Network World (US)
Boone es vicepresidente de márketing de Sipera Systems, un proveedor de sistemas de comunicación de VoIP y comunicaciones unificadas.