Empresa de repuestos de Bogotá fue victima de un ciberataque generando cargos por llamadas internacionales por valor de $160 millones. Conozca esta modalidad aprovechada por ciberdelincuentes que esta creciendo en el mundo.
En primera instancia la representante legal de la empresa involucrada, hizo el reclamo con el servicio de atención al cliente de la compañía ETB, pero se llevó la sorpresa que no había equivocación alguna, pues el registro indicaba unas llamadas de larga distancia internacional a Oriente Medio desde la línea fija del local de repuestos.
Los representantes de la ETB hicieron llegar el siguiente comunicado de prensa como respuesta a la denuncia:
Que es un IP-PBX?
Inicialmente, la Red Telefónica Pública Conmutada (PSTN) era una línea telefónica simple de uno a uno que conectaba teléfonos de una habitación a otra. Cuando el negocio telefónico creció, los intercambios de sucursales privadas (PBX) se diseñaron y desplegaron en entornos de oficina para proporcionar el aumento de líneas telefónicas y para conectar a los llamantes internos (a través de líneas troncales) a través de la PSTN o eventualmente a los llamantes de destino. Cuando la PSTN se volvió digital, se creó un método llamado Multiplexado por división de tiempo (TDM).
Voice over Internet Protocol (VoIP) es una tecnología más nueva que permite transferir conversaciones telefónicas a través de redes informáticas, transforma señales de audio analógicas y digitales en paquetes de datos. VoIP generalmente se refiere a aplicaciones de comunicaciones multimedia que se transportan a través de una red conmutada por paquetes (como Internet) en lugar de la PSTN.
VoIP ha experimentado una rápida implementación en los últimos años, muchos usuarios eligen VoIP y dejan atrás a los proveedores telefónicos tradicionales para pagar facturas más baratas; para las empresas que utilizan VoIP es una forma sencilla de comunicación entre sus distintas sucursales y para sus empleados que trabajan a distancia.
Ataques a IP-PBX
La Asociación de Control de Fraude en las Comunicaciones (CFCA, por sus siglas en inglés) estimó en 2015 que la pérdida global por fraude de telecomunicaciones es de USD $38.1 mil millones por año. Una buena parte de esta cifra, alrededor de $3.5 mil millones de dólares, se atribuye al robo de servicio del sistema de comunicaciones unificadas IP-PBX.
En muchas ocasiones los sistemas de telefonía son vulnerables y permiten a un atacante tener acceso a datos sensibles de una línea de voz por internet y realizar llamadas a números internacionales sin que el usuario lo note. Algunos de los vectores de ataque más usados incluyen:
- La recopilación de información
- La enumeración de extensiones
- La escucha clandestina
- La manipulación telefónica
- Los ataques de autenticación y la suplantación de identidad
- Los ataque de denegación de servicio
En 2020 expertos en seguridad de Check Point habían detectado una serie de ataques dirigidos a servidores VoIP específicamente a los servidores Session Initiation Protocol (SIP) a nivel mundial. Investigaciones revelaron que esta explotación es parte de un modelo de negocio grande y rentable dirigido por piratas informáticos que se ha dirigido a los sistemas telefónicos VoIP corporativos en casi 1200 organizaciones en todo el mundo durante los últimos 12 meses.
Eso incluye 93 empresas en los Estados Unidos, 631 en Gran Bretaña, 255 en los Países Bajos, 171 en Bélgica y 57 en Colombia. Los piratas informáticos también se han dirigido a empresas en Alemania, Francia, India, Italia, Canadá, Australia y otros.
Durante nuestra investigación, descubrimos una nueva campaña dirigida a Sangoma PBX , una GUI web de código abierto que administra Asterisk. Asterisk es el sistema de telefonía VoIP más popular del mundo para empresas utilizado por muchas empresas de Fortune 500 para sus telecomunicaciones nacionales e internacionales. El ataque explota CVE-2019-19006, una vulnerabilidad crítica en Sangoma PBX, que otorga al atacante acceso de administrador al sistema y le da control sobre sus funciones.
¿Qué hicieron los piratas informáticos con los servidores comprometidos?
Los piratas informáticos llevaron a cabo estos ataques principalmente para utilizar los servidores PBX para generar ingresos, lo que hicieron de tres maneras:
- Venta de números de teléfono o planes de llamadas : los piratas informáticos o sus clientes podrían realizar llamadas desde el sistema telefónico de la empresa comprometida sin ser detectados. Las llamadas salientes se consideran una actividad normal, por lo que no activarían ninguna alerta de seguridad.
- Venta de acceso al servidor : venderían acceso de administrador al servidor al mejor postor, quien luego podría usar los recursos del sistema para generar ingresos a través de actividades como la minería criptográfica o el lanzamiento de ataques en sistemas externos. Al hacer esto, parecería que los ataques y otras actividades provenían de la empresa con el sistema violado.
- Fraude de participación en los ingresos internacionales (IRSF) : algunos tipos de números internacionales con tarifas premium cuestan significativamente a las personas que llaman y generan ingresos considerables para el propietario del número de teléfono. Cuantas más llamadas reciban y más largas sean, mayores serán los ingresos. En algunos casos, los piratas informáticos en cuestión utilizarían el sistema telefónico para llamar a sus propios números de tarifa premium, generando ingresos a expensas de la empresa cuyo servidor fue pirateado.
Todo esto puede ocurrir si no se tienen en cuenta los protocolos adecuados para asegurar la infraestructura de voz IP, de allí la necesidad de realizar análisis o auditorias de seguridad antes que sucedan los incidentes y permita diseñar políticas de seguridad mas efectivas que ayudan a prevenir perdidas económicas y daños en la reputación.
Que se debe hacer ?
- Analice la facturación de llamadas de forma periódica. Tenga en cuenta los destinos de las llamadas, los volúmenes de tráfico y los patrones de llamadas sospechosos, especialmente para los números de tarifa premium
- Analice los patrones de llamadas internacionales y asegúrese de que se reconozcan los destinos
- Mantenga la política de contraseñas y cambie todas las contraseñas predeterminadas
- Busque el tráfico de llamadas realizadas fuera del horario comercial habitual
- Cancelar mensajes de voz innecesarios / no utilizados
- Aplicar parches para cerrar la vulnerabilidad CVE-2019-19006 que los piratas informáticos están explotando
- Los sistemas de prevención de intrusiones detectan o evitan los intentos de aprovechar las debilidades en los sistemas o aplicaciones vulnerables, protegiéndolo en la carrera por aprovechar las últimas amenazas.
Para recibir más información sin Costo y conocer las ultimas noticias de protección de datos, regístrese en nuestro Boletín:
Nota: Al registrarse recibirá un correo de confirmación. Revise su bandeja de correo no deseado o bandeja de entrada.