Los cibercriminales han encontrado una nueva forma de acometer sus fraudes y engaños: los sistemas telefónicos especialmente pensados para pequeñas y medianas empresas.

Aunque de momento es una tendencia que se observa en Estados Unidos, lo cierto es que este fenómeno será, antes o después, global.

Así, en las últimas semanas se tiene constancia de que los criminales han hackeado docenas de sistemas de telefonía a lo largo y ancho de Estados Unidos, utilizándolos como manera de contactar con clientes bancarios que no sospechan del fraude y a los que consiguen desvelar sus cuentas bancarias y contraseñas.

Cómo operan
Las víctimas suelen trabajar con pequeñas entidades bancarias, quienes suelen tener, por tanto, menos herramientas para detectar estos fraudes. Los delincuentes atacan los sistemas telefónicos y llaman a las víctimas haciéndoles oir mensajes grabados previamente en los que se les informa que ha ocurrido un error o que sus cuentas han sido canceladas ante la sospecha de que ha ocurrido algo indebido. Si el cliente accede a introducir su número de cuenta y contraseña, los delincuentes utilizarán esta información para limpiar las cuentas bancarias de la víctima.

Aunque, evidentemente, estos sistemas (conocidos en inglés como phreaking) no son nuevos (pueden tener más de 20 años), es ahora cuando los sistemas tradicionales de telefonía se han integrado con Internet, lo que ha generado también nuevas oportunidades para el fraude.

El pirateo de la VoIP (Voz sobre IP) es “una nueva frontera en el lado oscuro del cibercrimen y las telecomunicaciones”, sentencia Erez Liebermann, abogado del estado de Nueva Jersey, quien también asegura que es una “amenaza creciente y muy seria que las compañías deberían contemplar y preocuparse por ello”.

En Estados Unidos uno de los sistemas VoIP más populares es conocido como Asterik y los ataques en este sistema son “endémicos”, en palabras de John Todd, que trabaja en el creador del producto, Digium, como director de la comunidad de código libre. “Es como robar un bate de béisbol para romper un coche. El primer paso es romper Asterisk”.

El pirateo de este sistema se está volviendo cada vez más complejo desde septiembre de 2008, cuando se “anunciaron” las primeras y sencillas herramientas de uso, según reconoce Todd. “Ahora, hay personas publicando vídeos en blogs y podcasts sobre cómo corromper el sistema. La información está ahí”. Con estas herramientas, es muy sencillo romper el sistema VoIP, simplemente dañando el servidor diseñado para conectar el tráfico de la red local de la empresa al proveedor de telecomunicaciones (como AT&T), encargado de conectar las llamadas al resto del mundo.

Los piratas intentan averiguar las contraseñas del sistema VoIP, haciendo para ello multitud de pruebas. Mientras que algunas páginas web y programas (como Gmail) bloquean el acceso después de una serie de intentos fallidos, los sistemas VoIP no suelen estar configurados de igual manera, permitiendo que cualquier ordenador se conecte a ellos. De esta manera también se facilita el intentar averiguar la extensiones de la red y, una vez logrado, los delincuentes ejecutan sus aplicaciones malignas para acometer sus fechorías. Y todo ello, gratis.

Ataques vhishing
Una vez que el sistema VoIP ha sido hacheado, los criminales suelen emplearlo para llevar a cabo ataques tipo phishing a través del teléfono. Una técnica que se conoce como vhishing y que se conocen desde hace años, pese a que no se ha prestado demasiada atención a ellos, porque suele afectar a pequeñas empresas y bancos.

Además, hay que tener en cuenta que, además del daño directo que estos delitos pueden suponer para una empresa (y no digamos para un banco), si se derivan costes de estas acciones (como llamadas internacionales), la víctima que ha sufrido el pirateo de su sistema de telefonía IP puede ser responsable y tener que acabar pagando estos costes añadidos.


Cómo evitarlos
Sin embargo, las empresas pueden evitar muchos de estos ataques cambiando el Puerto que utilizan para las conexiones SIP (Session Initiation Protocol) en sus sistemas VoIP, bloqueando las conexiones después de un número de intentos fallidos y simplemente utilizando mejores contraseñas en sus servicios de voz, según defienden los expertos en seguridad.

El problema es que para la mayoría de las pequeñas y medianas empresas, la seguridad no es una prioridad. “Las personas se preocupan más por la calidad que podrían tener sus llamadas telefónicas”, explica Rodney Thayer, máximo responsable tecnológico de Secorix, empresas de seguridad VoIP, quien también considera que no tenemos la misma sensación de peligro con la telefonía que con los servidores web o de correo electrónico. Algo que, evidentemente, es un error, según sus palabras.

29/10/2009 Arantxa Herranz