Empresa de Bogotá deberá pagar factura por 160 millones al descubrir que fue Hackeada

Empresa de repuestos de Bogotá fue victima de un ciberataque generando cargos por llamadas internacionales por valor de $160 millones. Conozca esta modalidad aprovechada por ciberdelincuentes que esta creciendo en el mundo.

En primera instancia la representante legal de la empresa involucrada, hizo el reclamo con el servicio de atención al cliente de la compañía ETB, pero se llevó la sorpresa que no había equivocación alguna, pues el registro indicaba unas llamadas de larga distancia internacional a Oriente Medio desde la línea fija del local de repuestos.

Los representantes de la ETB hicieron llegar el siguiente comunicado de prensa como respuesta a la denuncia:

“En busca de alternativas legales que nos permitan encontrar la mejor solución para nuestro cliente”, citando al comunicado de la ETB, la compañía ha remitido el caso a la Superintendencia de Industria y Comercio, cuyo estudio y posterior fallo podría zanjar la disputa. Sin embargo, la posición de la empresa de las telecomunicaciones es que la falla de seguridad no provino de su sistema, sino de su cliente: “Tras la visita de especialistas se confirmó que el servicio de ETB se prestaba de manera segura y, ante la persistencia del delito, se estableció que la vulnerabilidad de la seguridad no estaba en la troncal de ETB, sino en el PBX a cargo de Mundial de Repuestos”.

Que es un IP-PBX?

Inicialmente, la Red Telefónica Pública Conmutada (PSTN) era una línea telefónica simple de uno a uno que conectaba teléfonos de una habitación a otra. Cuando el negocio telefónico creció, los intercambios de sucursales privadas (PBX) se diseñaron y desplegaron en entornos de oficina para proporcionar el aumento de líneas telefónicas y para conectar a los llamantes internos (a través de líneas troncales) a través de la PSTN o eventualmente a los llamantes de destino. Cuando la PSTN se volvió digital, se creó un método llamado Multiplexado por división de tiempo (TDM). 

Voice over Internet Protocol (VoIP) es una tecnología más nueva que permite transferir conversaciones telefónicas a través de redes informáticas, transforma señales de audio analógicas y digitales en paquetes de datos. VoIP generalmente se refiere a aplicaciones de comunicaciones multimedia que se transportan a través de una red conmutada por paquetes (como Internet) en lugar de la PSTN. 

VoIP ha experimentado una rápida implementación en los últimos años, muchos usuarios eligen VoIP y dejan atrás a los proveedores telefónicos tradicionales para pagar facturas más baratas; para las empresas que utilizan VoIP es una forma sencilla de comunicación entre sus distintas sucursales y para sus empleados que trabajan a distancia.

Ataques a IP-PBX

La Asociación de Control de Fraude en las Comunicaciones (CFCA, por sus siglas en inglés) estimó en 2015 que la pérdida global por fraude de telecomunicaciones es de USD $38.1 mil millones por año. Una buena parte de esta cifra, alrededor de $3.5 mil millones de dólares, se atribuye al robo de servicio del sistema de comunicaciones unificadas IP-PBX.

En muchas ocasiones los sistemas de telefonía son vulnerables y permiten a un atacante tener acceso a datos sensibles de una línea de voz por internet y realizar llamadas a números internacionales sin que el usuario lo note. Algunos de los vectores de ataque más usados incluyen:

  • La recopilación de información
  • La enumeración de extensiones
  • La escucha clandestina
  • La manipulación telefónica
  • Los ataques de autenticación y la suplantación de identidad
  • Los ataque de denegación de servicio
Manipulación telefónica con RTPINSERTSOUND. hakin9.org

En 2020 expertos en seguridad de Check Point habían detectado una serie de ataques dirigidos a servidores VoIP específicamente a los servidores Session Initiation Protocol (SIP) a nivel mundial. Investigaciones revelaron que esta explotación es parte de un modelo de negocio grande y rentable dirigido por piratas informáticos que se ha dirigido a los sistemas telefónicos VoIP corporativos en casi 1200 organizaciones en todo el mundo durante los últimos 12 meses.

Eso incluye 93 empresas en los Estados Unidos, 631 en Gran Bretaña, 255 en los Países Bajos, 171 en Bélgica y 57 en Colombia. Los piratas informáticos también se han dirigido a empresas en Alemania, Francia, India, Italia, Canadá, Australia y otros.

Durante nuestra investigación, descubrimos una nueva campaña dirigida a Sangoma PBX , una GUI web de código abierto que administra Asterisk. Asterisk es el sistema de telefonía VoIP más popular del mundo para empresas utilizado por muchas empresas de Fortune 500 para sus telecomunicaciones nacionales e internacionales. El ataque explota CVE-2019-19006, una vulnerabilidad crítica en Sangoma PBX, que otorga al atacante acceso de administrador al sistema y le da control sobre sus funciones.

El acceso sin restricciones al sistema telefónico de una empresa puede permitir a los atacantes realizar llamadas utilizando los recursos de la empresa comprometida y espiar llamadas legítimas. También pueden usar los sistemas comprometidos para futuros ataques, como usar los recursos del sistema para criptominería, propagarse lateralmente a través de la red de la empresa o lanzar ataques a objetivos externos, mientras se hacen pasar por representantes de la empresa comprometida.

¿Qué hicieron los piratas informáticos con los servidores comprometidos?

Los piratas informáticos llevaron a cabo estos ataques principalmente para utilizar los servidores PBX para generar ingresos, lo que hicieron de tres maneras:

  • Venta de números de teléfono o planes de llamadas : los piratas informáticos o sus clientes podrían realizar llamadas desde el sistema telefónico de la empresa comprometida sin ser detectados. Las llamadas salientes se consideran una actividad normal, por lo que no activarían ninguna alerta de seguridad.
  • Venta de acceso al servidor : venderían acceso de administrador al servidor al mejor postor, quien luego podría usar los recursos del sistema para generar ingresos a través de actividades como la minería criptográfica o el lanzamiento de ataques en sistemas externos. Al hacer esto, parecería que los ataques y otras actividades provenían de la empresa con el sistema violado.
  • Fraude de participación en los ingresos internacionales (IRSF) : algunos tipos de números internacionales con tarifas premium cuestan significativamente a las personas que llaman y generan ingresos considerables para el propietario del número de teléfono. Cuantas más llamadas reciban y más largas sean, mayores serán los ingresos. En algunos casos, los piratas informáticos en cuestión utilizarían el sistema telefónico para llamar a sus propios números de tarifa premium, generando ingresos a expensas de la empresa cuyo servidor fue pirateado.

El objetivo principal de los ciberdelincuentes era vender los números de teléfono de las organizaciones específicas, los planes de llamadas y el acceso en vivo a los servicios de VoIP comprometidos a los mejores postores. Luego pueden explotar esos servicios para sus propios fines.

Todo esto puede ocurrir si no se tienen en cuenta los protocolos adecuados para asegurar la infraestructura de voz IP, de allí la necesidad de realizar análisis o auditorias de seguridad antes que sucedan los incidentes y permita diseñar políticas de seguridad mas efectivas que ayudan a prevenir perdidas económicas y daños en la reputación.

Que se debe hacer ?

  • Analice la facturación de llamadas de forma periódica. Tenga en cuenta los destinos de las llamadas, los volúmenes de tráfico y los patrones de llamadas sospechosos, especialmente para los números de tarifa premium
  • Analice los patrones de llamadas internacionales y asegúrese de que se reconozcan los destinos
  • Mantenga la política de contraseñas y cambie todas las contraseñas predeterminadas
  • Busque el tráfico de llamadas realizadas fuera del horario comercial habitual
  • Cancelar mensajes de voz innecesarios / no utilizados
  • Aplicar parches para cerrar la vulnerabilidad CVE-2019-19006 que los piratas informáticos están explotando
  • Los sistemas de prevención de intrusiones detectan o evitan los intentos de aprovechar las debilidades en los sistemas o aplicaciones vulnerables, protegiéndolo en la carrera por aprovechar las últimas amenazas.

Para recibir más información sin Costo y conocer las ultimas noticias de protección de datos, regístrese en nuestro Boletín:

Nota: Al registrarse recibirá un correo de confirmación. Revise su bandeja de correo no deseado o bandeja de entrada.