Resumimos las características, amenazas y recomendaciones para mejorar la postura de seguridad de la infraestructura de TI de las empresas de telecomunicaciones.
Las telecomunicaciones son sólo un aspecto de un campo de investigación de TI de 200 años de antigüedad. En nuestro último reporte, “Islands of Telecom: Risks in IT,” comparamos este campo con lo que parecerían ser islas separadas, pero que en realidad están conectadas por un gran terreno debajo de un océano de TI. Ciertamente, las características de las telecomunicaciones podrían diferir entre sí, pero todas se juntan como los cimientos del campo entero.
En esta investigación, resumimos las características, amenazas potenciales y recomendaciones para mejorar la postura de seguridad de las empresas y compañías de telecomunicaciones. Las siguientes son algunas áreas clave que examinamos en el análisis.
Intersección de voz
Las llamadas de voz continúan siendo uno de los tipos más confiables de comunicación. Aún así, los atacantes pueden aprovechar este ambiente, infraestructura e interconexión entre los operadores al explotar la confianza entre carriers para implementar escenarios remotos de ataque. El acceso a la infraestructura de telecomunicaciones en un país extranjero también es suficiente para realizar el redireccionamiento e intersección las llamadas de voz. los escenarios de ataque pueden incluir abusar de una pequeña célula de interiores instalada en espacios privados como bares, usar una war box, o interceptar datos y llamadas de voz con una estación base externa, entre otros posibles escenarios.
debido al nivel asumido de confianza, la intersección de llamadas de voz (o “wiretapping”) a menudo tiene blancos de alto valor como altos ejecutivos, figuras políticas, abogados, periodistas y activistas, entre otros. Los ataques de este tipo no solamente evaden la seguridad de la información, pero también obtienen acceso a información de alto valor que puede utilizarse, por ejemplo, para influir en el resultado de negociaciones y comercio. Nuestra investigación examina algunos ejemplos de alto perfil de este tipo de ataque, como aquellos en Italia y Uganda.
Recomendación: si es posible, los algoritmos que se utilizan en el sector financiero pueden federarse con los logs de telecomunicaciones como la Ley de Benford para detectar fraudes. Los equipos de respuesta a incidentes (IR) pueden monitorear y rastrear cuándo ocurren los fraudes y los abusos, señalando patrones alertables y predecibles de los comportamientos criminales. También se recomienda que los usuarios utilicen encriptación de punta a punta en sus aplicaciones de voz, además de deshabilitar GSM en sus teléfonos de ser posible.
Intersección de SMSs
De forma más frecuente, los desarrolladores incluyen autenticación por medio de SMS para sus proyectos como una opción confiable para registrar y procesar las transacciones como las one-time passwords (OTP). Sin embargo, como los SMS se intercambian en cleartext dentro de la red de telecomunicaciones, se ve vulnerable a la intersección y a ataques de downgrade.
Una red central de telecomunicaciones puede considerarse como “protegida” dependiendo de cómo una telco percibe el término “dominio de seguridad”. En realidad, sin embargo, ya que una red central de telecomunicaciones usualmente tiene un sólo dominio, los datos que se contienen solamente están protegidos desde afuera y no desde adentro. Por lo tanto, un hacker o un interno puede interceptar los mensajes o hacer un downgrade del área de servicio 4G/5G a una red menos segura, como GSM.
SMS también es el canal de respaldo que se utiliza para los sistemas remotos de OT, como los routers industriales e dispositivos celulares OT, los cuales soportan comandos “over the air” (OTA). estos sistemas son más susceptibles a la intercepción debido a la cobertura GSM, la cual es más amplia a comparación de las generaciones más recientes de tecnologías de comunicación.
A través de la ingeniería social, el cambio de SIMs también ha sido utilizado por actores maliciosos quienes pretenden ser usuarios en problemas. Usualmente, un actor malicioso llama a un centro de servicio fingiendo ser un usuario que ha perdido su dispositivo o su SIM. En respuesta, el centro de servicio entonces transfiere la cuenta el número de teléfono del suscriptor al atacante, después de lo cual todos los mensajes detexto serán enviados al actor malicioso en lugar del usuario legítimo. Casos previamente documentados de esto incluye malware haciéndose pasar por herramientas de Android para robar códigos de autentificación, esto sin mencionar el malware “MessageTap” utilizado para hackear los centros de SMS en telecom.
Recomendación: en lugar de SMS, los usuarios deben considerar otros medios de autenticación, como aplicaciones especializadas o una notificación en el teléfono.
“Spoofing” de ID de llamada
El spoofing de ID de llamada (CLID) es una actividad legítima basada en estándares utilizada para propósitos legítimos, incluyendo ocultar a los call centers que están detrás de los números 1-800. También puede abusarse por los cibercriminales para atacar a individuos, como actores maliciosos haciéndose pasar por organizaciones como bancos o el gobierno. Los escenarios de ataque como este abusan la confianza establecida con los números reconocidos de las organizaciones.
Un escenario puede involucrar un cliente recibiendo una llamada o un mensaje de texto de parte de su banco. Esta transmisión puede incluir un requerimiento a la acción debido a una “razón” por la cual un cliente inadvertidamente comparte sus credenciales u otra información sensible con un atacante a través de un sitio de phishing. Otros escenarios de ataque también incluyen:
- Atacantes haciéndose pasar por agencias gubernamentales
- Oficiales de alto rango recibiendo llamadas de números que identifican como pertenecientes a otros oficiales pero en realidad pertenecen actores maliciosos
- Actores maliciosos utilizando el número de un cliente para autenticar llamadas a organizaciones
Ataques como estos se observaron en el 2020 en Australia y Singapur. En ambos casos, se le advirtió a las respectivas comunidades acerca de estafadores haciéndose pasar por agencias gubernamentales para comprar objetos específicos.
Recomendación: los usuarios y organizaciones deben revisar dos veces el origen de las llamadas y mensajes de texto entrantes como parte de una estrategia de defensa multicapa. También se recomienda empoderar a los procesos existentes utilizando datos como logs de telecom relacionadas con los orígenes de las llamadas o los mensajes.
Extorsión TDoS
A comparación del modelo cuantitativo de denegación de servicio (DoS) donde un sistema se ve abrumado con volúmenes de tráfico, la denegación de servicio por telefonía (TDoS) es un modelo cualitativo de DoS donde el servicio se “apaga” para el usuario legítimo blanco del ataque. Los atacantes abusan de los procesos existentes de negocio de las empresas de telecomunicaciones para administrar el fraude y crear un escenario que hace pasar el número y SIM de la víctima como uno fraudulento. La telco entonces bloquea el número y la tarjeta SIM, las cuales ahora son rastreadas como fuentes de fraude. Como resultado, es posible que la víctima deba hacer acto de presencia en la oficina de la telco para restaurar su servicio.
Este enfoque a DoS puede pensarse como una “black flag”, donde el fraude se realiza específicamente con el propósito de hacer que se detecte y bloquee a la víctima (ya sea una persona o una empresa). Los escenarios de ataque como este incluyen al atacante sitúandose en el rango de la SIM y el número de teléfono de la víctima para que la telco los identifique como la fuente del fraude y que se trate a la víctima como sospechosa. Los atacantes también pueden prolongar el apagón de la conectividad de los datos y llamadas al llamar múltiples veces al día a la telco para solicitar servicios de restauración, dificultando que la telco distinga entre víctimas reales y falsas.
Debe tomarse en cuenta que la víctima podría no tener la conectividad o la capacidad de hacer una llamada y apaganoes como este podrían requerir que la víctima viaje grandes distancias solamente para hacer acto de presencia en la oficina de la telco. Los atacantes pueden abusar de esta situación aún más al contactar a la víctima y fingiendo tener la capacidad de restaurar el servicio a cambio de demandas específicas. Este fue el escenario de ataque en un número de islas en el Pacífico a través de (IRSF) international revenue sharing fraud.
Recomendación: como clientes, tanto las organizaciones como los usuarios pueden crear una fuerte relación con su respectivo representante o ejecutivo de ventas para evadir las brechas en los procesos para restaurar la conectividad y el servicio telefónico. En este sentido, también se recomienda tener un método alternativo de comunicación con tal contacto.
Whaling por medio de SIMjacking
El whaling viene del término “phishing” pero tiene que ver con los “peces grandes” como VIPs que pueden incluir periodistas, políticos, CEOs, celebridades y atletas, entre otros. El SIMjacking, también conocido como SIM Swapping, es un ataque que redirige el tráfico del teléfono de la “ballena” target hacia un actor malicioso. Esto permite que el atacante origine llamadas o mensajes a otros empleados para lograr el business email compromise (BEC), como interceptar códigos SMS de autenticación multifactor (MFA) o autorizar transferencias bancarias.
Una de las formas más sencillas de iniciar esto es a través de la ingeniería social usando múltiples puntos y personal de ataque, específicamente al seleccionar como blanco puntos o individuos dentro de la empresa de telecomunicaciones. Críticamente, sólo un punto válido de entrada podría permitirle a los atacantes obtener control de no solamente una cuenta VIP, sino una base entera de clientes.
Recomendación: se recomienda no usar métodos basados en SMS para la autenticación, como las aplicaciones de autenticación. Los VIPs también pueden usar un sistema de administración de activos e identidad (IAM) federado y planear los controles IAM que utilizará el personal de telecomunicaciones.
Conclusión
La integración de la infraestructura de telecomunicaciones para casi todas las verticales críticas ha sido una tendencia que lleva ya algún tiempo, y probablemente continuará con las oportunidades que traigan el 5G y 6G en términos de tecnologías, capacidades y superficies de ataque. Como resultado, los equipos de TI y seguridad necesitan estar conscientes de los cambiantes riesgos a los activos de TI, así como de las diferencias en los conceptos, equipo, habilidades y capacitación requeridos para lidiar con dichos riesgos. Finalmente, cuando se elijan herramientas para mejorar la visibilidad y la línea base de seguridad, las nuevas dependencias, relaciones de la red y vulnerabilidades que resulten de estas nuevas tecnologías y desarrollos deben tomarse en consideración.
Leave a Reply