Inicio / Protege tu empresa / Blog / Historias reales: Accedieron a la centralita VoIP para cometer fraude a través de números de tarificación especial

Historias reales: Accedieron a la centralita VoIP para cometer fraude a través de números de tarificación especial

Publicado el 20/10/2014, por INCIBE
Historias reales: Accedieron a la centralita VoIP para cometer fraude a través de números de tarificación especial

Ramón Martínez era el encargado de recibir –y pagar- las facturas que recibía su empresa, una pequeña consultora, de diferentes proveedores. Ese mes, cuando recibió la factura telefónica, no daba crédito a lo que veían sus ojos: «¡Más de cinco mil euros! No puede ser»

Inmediatamente pensó que se trataba de un error y se puso en contacto con el comercial de la compañía telefónica. Al comercial también le extrañó mucho lo abultado de la factura: entre móviles y fijos, la empresa de Ramón no solía gastar más de quinientos euros al mes. Pero el departamento técnico de la empresa de telefonía confirmó al comercial, y ese a Ramón, que la factura era correcta. Este último mes se habían hecho muchas llamadas a un país extranjero desde los teléfonos de la empresa.

Ramón seguía sin dar crédito a lo que le decía el comercial; por eso se fue a hablar con su departamento de sistemas, que son los responsables técnicos de la telefonía de la empresa. Revisaron los históricos de las llamadas realizadas el mes anterior y confirmaron lo que les había anticipado el comercial: efectivamente, desde la empresa se habían hecho muchas llamadas a un número de tarificación especial en un tercer país. Ramón y sus compañeros hicieron una llamada a ese número –una más- y comprobaron que únicamente había una locución que mantenía la llamada unos minutos en espera…

Factura Centralita VoIP Números de Tarificación Especial

Ese número de tarificación especial, simplemente por recibir la llamada y mantenerla, hace que su dueño gane dinero, aunque nadie conteste… Por supuesto, nadie de la empresa se había dedicado a llamar continuamente al número, pero el caso era que las llamadas existían, se habían realizado.

El departamento de sistemas se puso a revisar todos los registros de los sistemas que habían sido comprometidos, principalmente los de la centralita. Querían saber qué estaba pasando, no entendían nada. Si nadie de la empresa había llamado a esos números, ¿cómo era posible que se hubieran hecho? ¡Y encima aparecían en los históricos como llamadas efectuadas! Durante ese análisis fue cuando lo descubrieron, se habían «colado» en su centralita y se habían dedicado a hacer llamadas. No eran conscientes del riesgo al que estaban expuestos, hasta ahora, que ya era demasiado tarde.

Aunque obviamente la empresa de Ramón denunció el ataque sufrido, lo primero que tuvo que hacer a continuación fue… abonar la factura.Este es un caso real en el que por cuestiones de confidencialidad no se proporciona el nombre real ni de la empresa ni de los empleados involucrados. Este caso es más habitual de lo que parece y por ese motivo nuestro amigo Ramón ha querido compartirlo con nosotros, para que tomemos conciencia de los riesgos a los que estamos expuestos con las centralitas y  podamos hacer frente a estos ataques.

¿Qué fue realmente lo que pasó?

Lo que pasó fue lo siguiente: la empresa de Ramón tenía un sistema de voz sobre IP (VoIP), que entre otras ventajas frente a la telefonía convencional, permite usar la línea de Internet para realizar llamadas, con el consiguiente ahorro de costes para la empresa. En este caso la VoIP únicamente se utilizaba internamente, saliendo a la red telefónica convencional a través de un primario, con un coste determinado asociado a cada llamada. Existen operadores de VoIP que facilitan la salida a esta red directamente a través de Internet, con un coste menor que el de las operadoras convencionales, pero con un coste al fin y al cabo.

 Cuando se instaló este sistema, los técnicos instaladores cometieron un fallo muy importante: dejaron conectada a Internet, sin protección, la centralita de la empresa. Esta centralita la encontró un grupo de ciberdelincuentes. ¡Ojo! NO la encontró por casualidad, la encontró porque parte de sus técnicas es buscar este tipo de sistemas para luego abusar de ellos; por ejemplo revendiendo llamadas a grupos o, como en este caso, automatizando la llamada a una tarificación especial en un tercer país.

Aunque la empresa de Ramón disponía de VoIP, como hemos dicho la salida a la red telefónica se realizaba por una línea convencional: cada llamada tenía un coste acordado con la operadora. Imaginemos que desde nuestra empresa nos dedicamos todo un mes o buena parte de él a llamar al extranjero de forma continua –encima a un número de tarificación especial. ¿Nos lo hemos imaginado? Seguramente lo primero que todos hemos pensado ha sido en la factura que nos llegaría. Pues a Ramón le llegó.

 ¿Cómo llevaron a cabo el engaño?

Hace años, denominábamos phreakers a las personas interesadas en el mundo de la telefonía y que podían llegar a utilizar los antiguos sistemas telefónicos para realizar abusos sobre los mismos; a esta actividad la denominábamos phreaking. Hoy en día, existen grupos organizados de ciberdelincuentes que rastrean Internet en busca de centralitas de VoIP para poder explotarlas: una configuración incorrecta (el acceso desde Internet ya lo es de por sí), unas contraseñas débiles, etc. Cuando encuentran una centralita conectada a la red (con unos determinados puertos accesibles desde Internet), intentan acceder a ella y, si este acceso es exitoso, a través de un dialer, de un teléfono software o de cualquier otro mecanismo, se conectarán a la centralita y aprovecharán la telefonía de su víctima para realizar llamadas.

 Estas llamadas pueden utilizarse simplemente para ser revendidas –por ejemplo, a personas que se comunican con su país de origen- o, como en este caso, para contactar con números de tarificación especial: números en los que cada segundo de llamada que transcurre el receptor, asociado a la mafia, gana dinero. Por supuesto, el país al que se llama para cometer este fraude es un país con una legislación en la materia laxa o inexistente.
Por supuesto, los ciberdelincuentes no tienen en ningún momento que «engancharse» físicamente a la red telefónica de su víctima con un dispositivo. Todo el ataque se realiza de forma remota y la llamada se realiza con un programa como los anteriormente citados. Suelen ser gratuitos y que permiten desde el puesto del atacante, conectar de forma lógica con la víctima para abusar de su infraestructura telefónica.

¿Qué hacer si nos sucede esto?

Denunciar es lo primero, como siempre que sospechemos que existe un delito. Una vez denunciados los hechos, debemos analizar la seguridad de nuestra instalación de VoIP para identificar las posibles vulnerabilidades que puedan existir y corregirlas de forma urgente. Comenzando, en este caso concreto, con el bloqueo de los accesos desde Internet al sistema central. También, como en la gestión de cualquier incidente, debemos extraer la máxima información que proporciona el sistema (conexiones, horas, orígenes, destinos de las llamadas…) para adjuntarlas a la denuncia y facilitar el trabajo de las Fuerzas y Cuerpos de Seguridad del Estado. 

¿Qué hacer para que no nos suceda?

Por supuesto, lo primero es una configuración correcta de nuestros sistemas de telefonía. Esta configuración implica de manera obligatoria que la centralita no puede ser accedida directamente desde Internet bajo ningún concepto.

Además, en función del modelo o software utilizado para la gestión de la telefonía IP, deberemos aplicar guías y plantillas de seguridad que permitan minimizar el acceso no controlado y el abuso del sistema. Y por supuesto, cualquier contraseña de acceso debe ser robusta, ya que en ocasiones es el último eslabón de nuestra protección ante estos ataques.

Adicionalmente, y por si las medidas de prevención fallan, debemos considerar y adoptar medidas adicionales, de detección, como por ejemplo: 

  • Restricción de llamadas salientes a países con los que no mantenemos relación profesional. Si nuestra empresa jamás ha vendido en Uzbekistán, por poner un ejemplo, ¿qué sentido tiene llamar allí?
  • Vigilancia de los registros de los sistemas de telefonía para, de forma automática, detectar cualquier intento de abuso, o cualquier vulneración de la seguridad, lo antes posible… y responder ante éste.
  • Auditorías periódicas del sistema para garantizar que los controles de seguridad (actualizaciones, control de acceso, revisiones…) funcionan correctamente.

Así que si tienes una centralita con un sistema sobre Voz IP y no estás seguro si está bien configurada, ponte en contacto con tu equipo de sistemas y comunicaciones para comprobarlo.

Etiquetas: 
Buenas prácticas
Ciberdelito
Empresa
Fraude
Testimonios
Artículos relacionados
Manos con imagen de correo electrónico
INCIBE | 28/02/2023
Los riesgos y las medidas de seguridad del correo electrónico
Lupa buscando personas
INCIBE | 21/02/2023
Qué es el egosurfing y cómo practicarlo en mi empresa
teclado con palabra keylogger en rojo
INCIBE | 31/01/2023
¡Cuidado! Un keylogger podría estar registrando tus contraseñas