Trend Micro resume las características, amenazas y recomendaciones para mejorar la postura de seguridad de la infraestructura de TI de las empresas del sector de telecomunicaciones
Las telecomunicaciones son solo un campo de investigación para los equipos de TI. En el último informe, “Islas de telecomunicaciones: riesgos en TI”, se compara a este sector con lo que parecen ser islas separadas las cuales están conectadas por una gran masa de tierra debajo de un océano de TI. De hecho, las características de las telecomunicaciones pueden parecer diferentes entre sí, pero todas se unen como la base de todo.
En esta investigación, Trend Micro, líder mundial en ciberseguridad, resume las características, amenazas potenciales y recomendaciones para mejorar la postura de seguridad de las empresas de telecomunicaciones. Las siguientes son algunas áreas de preocupación que se desarrollan en el análisis:
Interceptación de voz
Las llamadas de voz siguen siendo uno de los tipos de comunicación más confiables. Aún así, los ciberdelincuentes aprovechan el entorno, la infraestructura y la interconexión para implementar escenarios de ataques remotos. Dado el nivel de presunta confianza, los ataques de interceptación de llamadas de voz a menudo tienen como objetivo altos ejecutivos, figuras políticas clave, abogados, periodistas y activistas, por nombrar algunos. Los ataques de este tipo obtienen acceso a información de alto valor que se puede utilizar, por ejemplo, para influir en el resultado de negociaciones o en el comercio.
Recomendación: Los equipos de respuesta a incidentes (IR) pueden monitorear y rastrear cuando ocurren abusos y fraudes, lo que permite emitir patrones de alerta y predecir comportamientos delictivos. También se anima a los usuarios a que utilicen el cifrado punto a punto en sus aplicaciones de voz y se les aconseja que deshabiliten la red GSM en sus teléfonos, si es posible.
Interceptación de SMS
Una red central de telecomunicaciones puede considerarse «protegida» dependiendo de cómo una empresa de telecomunicaciones perciba el término «dominio de seguridad». Sin embargo, en realidad, dado que una red central de telecomunicaciones suele ser solo un dominio, los datos que contiene sólo están protegidos desde el exterior y no desde el interior. Por lo tanto, un ciberdelincuente con información privilegiada puede interceptar el SMS o degradar un área de servicio 4G/5G a una red menos segura, como la GSM.
A través de la ingeniería social, el intercambio de SIM también ha sido utilizado por actores malintencionados que se hacen pasar por usuarios en peligro. Por lo general, un actor malintencionado llama a un centro de servicios de telecomunicaciones haciéndose pasar por un usuario que ha perdido su dispositivo o SIM. En respuesta, el centro de servicio transfiere la cuenta y el número de teléfono del suscriptor al atacante, después de lo cual todos los mensajes de texto se envían al actor malintencionado en lugar de al suscriptor legítimo involuntario.
Recomendación: en lugar de SMS, los usuarios deben considerar otros medios de autenticación, como los autenticadores de aplicaciones móviles o un aviso automático de teléfono móvil.
Suplantación de identidad de línea de llamada
La suplantación de identidad de la línea de llamada (CLID) es una actividad legítima basada en estándares que se utiliza con fines legítimos, incluido el enmascaramiento de los centros de llamadas detrás de los números de la línea directa 1-800. Los delincuentes también pueden abusar de él para atacar a las personas; un escenario puede implicar que un cliente reciba una llamada o un mensaje de texto de su banco incluyendo una solicitud de acción con la que el cliente es atraído a compartir involuntariamente sus credenciales u otra información confidencial con un atacante a través de un sitio de phishing.
Recomendación: los usuarios y las organizaciones deben verificar el origen de las llamadas entrantes y los mensajes de texto como parte de una estrategia de defensa de varios niveles. También se recomienda potenciar los procesos existentes mediante el uso de datos como los registros de telecomunicaciones que están relacionados con el origen de los mensajes de texto o las llamadas.
Extorsión de TDoS
En comparación con el modelo cuantitativo de denegación de servicio (DoS) en el que un sistema está sobrecargado con volúmenes de tráfico, la denegación de servicio de telefonía (TDoS) es un modelo cualitativo de DoS en el que el servicio se «apaga» para el usuario legítimo objetivo. Los atacantes abusan de los procesos comerciales existentes de las empresas de telecomunicaciones para gestionar el fraude y crear un escenario que muestre el número de teléfono y la tarjeta SIM de la víctima prevista como pertenecientes a un estafador. Luego, la empresa de telecomunicaciones bloquea el número de la víctima y la tarjeta SIM, que ahora se rastrean como fuentes de fraude detectable. Como resultado, es probable que se requiera que la víctima haga una aparición personal en la oficina de telecomunicaciones para restaurar sus servicios.
Recomendación: como clientes, tanto las organizaciones como los usuarios pueden establecer una relación sólida con sus respectivos representantes o ejecutivos de cuentas de ventas para evitar las brechas en los procesos para restaurar la conectividad y los servicios telefónicos. En este sentido, también sería recomendable disponer de un medio alternativo de comunicación con dicho contacto.
Caza de ballenas por SIMjacking
La caza de ballenas proviene del término «phishing», pero se refiere a los «peces gordos», como los VIP, que pueden incluir periodistas, políticos, directores ejecutivos, celebridades y atletas, por nombrar algunos. El secuestro de SIM también es conocido por otros como intercambio de SIM, consiste en un ataque que redirige el tráfico de teléfonos móviles de una potencial víctima hacia un actor malintencionado. Esto permite al atacante originar llamadas de voz o mensajes a otros empleados para comprometer el correo electrónico empresarial (BEC), como interceptar códigos de autenticación multifactor (MFA) basados en SMS o autorizar transferencias bancarias de la empresa.
Recomendación: es aconsejable utilizar medios de autenticación que no estén basados en SMS, como aplicaciones de autenticación, los VIP también pueden emplear un sistema de gestión de activos e identidad federado (IAM) y repensar los controles de IAM manejados por el personal de telecomunicaciones.
En conclusión, la integración de la infraestructura de telecomunicaciones para la gran mayoría de las verticales críticas ha sido una tendencia continua, y probablemente continuará con las oportunidades que brindan 5G y 6G en términos de tecnologías, capacidades, finanzas y superficies de ataque. Como resultado, los equipos de TI y seguridad deben ser conscientes de los riesgos cambiantes para los activos de TI, así como de las diferencias en los conceptos, equipos, habilidades y capacitación necesarios para hacer frente a dichos riesgos.