COMENTARIO
Los canales de mensajería han sido durante mucho tiempo los favoritos de los equipos de crecimiento y experiencia del cliente. Permiten muchos usos: activación de usuarios inactivos, posibilidad de que los usuarios protejan sus cuentas mediante un SMS. autenticación de dos factores (2FA)y más. SMS y los canales de voz han liderado la carta en todos los sectores y, según un estudioEstos canales han sido y seguirán siendo fuertemente explotados.
Sin embargo, los atacantes siguen el dinero. Los ataques basados en telecomunicaciones, como el fraude de SMS y la piratería de autenticación de dos factores, se han convertido en una gran preocupación para los directores de seguridad de la información (CISO) y ya han impactado a empresas como X y muchas otras. Elon Musk fue la primera persona de alto perfil en mostrar el daño que el fraude de peajes provoca en las empresas.
Los peligros de una cadena invisible y una arquitectura basada en la confianza
El Sistema de Señalización 7 (SS7), un componente crítico de la infraestructura global de telecomunicaciones que permite la interoperabilidad de diferentes redes, es responsable de servicios como mensajería y llamadas de voz. Sin embargo, en el mundo de la arquitectura de confianza cero, SS7 todavía depende de la arquitectura arcaica basada en la confianza. Por naturaleza, una arquitectura basada en la confianza supone que todos los participantes son honestos y legítimos, lo que los atacantes aprovechan. Se hacen cargo de un operador legítimo pero menos seguro o se hacen pasar por un operador legítimo en el medio.
Dada la naturaleza descentralizada y el alcance regional de las redes, los operadores no tienen una visibilidad completa del origen y terminación del tráfico. Los atacantes aprovechan esta laguna para generar tráfico falso con información de origen falsificada, haciéndolo parecer legítimo. Estos actos también perjudican los ingresos empresariales.
Algunas redes han comenzado a aprovechar los protocolos SSE e IPSec, pero están lejos de ser adoptados de manera generalizada, lo que proporciona a los atacantes un punto de entrada clave a la infraestructura.
Un impuesto ilegal a las empresas
Los ataques de los operadores de telecomunicaciones son un impuesto a las empresas, aunque ilegales. Dada la complejidad y opacidad de la cadena, las empresas no tienen visibilidad y muchas veces se ven obligadas a pagar por servicios que nunca solicitaron. En el caso del fraude por SMS, las redirecciones a números de tarifa premium no son consensuadas. Los operadores de redes suelen crear contratos complicados para justificar estas tarifas, lo que deja a las empresas con pocos recursos una vez que se ha producido el fraude.
Además, estos ataques afectan las pequeñas y medianas empresas desproporcionadamenteA menudo contraen grandes deudas para pagar estos costes y acaban cerrando sus puertas o declarándose en quiebra.
Dado el impacto desproporcionado que están experimentando las empresas, las empresas deberían tomar medidas proactivas y a largo plazo para defenderse.
Amenazas a la ciberseguridad
Los ataques llevados a cabo por los operadores de telecomunicaciones no sólo inflan las facturas. Sus efectos en cascada se sienten en los equipos y clientes de la empresa.
-
Aumento de intentos de phishing: Dada la vulnerabilidad, los atacantes pueden cambiar el destino de estos mensajes falsificados a clientes empresariales en lugar de un PRN, con un cuerpo de mensaje modificado. Los clientes desprevenidos, como los de servicios financieros, pueden compartir más información de la esperada y ser víctimas de phishing.
-
SMS interceptados 2FA: Esta vulnerabilidad se puede aprovechar para interceptar mensajes 2FA en tránsito hacia el destinatario previsto. Esto lleva a comprometer la cuenta sin que sea culpa de los consumidores.
-
Denegación de servicio sobre flujos de comunicación: Si bien los firewalls de aplicaciones web (WAF) protegen contra ataques DDoS generales, los ataques sofisticados contra flujos de comunicación a menudo pasan desapercibidos, dada su capacidad para ocultarse bajo el tráfico normal, lo que a menudo conduce a la falta de disponibilidad de estos servicios para los consumidores objetivo.
-
Pérdida masiva de ingresos: Los servicios de comunicación son caros. Cualquier ataque a estos canales es costoso para las empresas y genera contracciones masivas de ganancias, despidos y más.
-
Superficie de ataque extendida: Aunque las soluciones de seguridad para terminales brindan protección contra URL maliciosas e intentos de phishing, la vulnerabilidad permite a los atacantes “infundir” confianza en los mensajes falsificando el remitente y el cuerpo, lo que genera enormes ataques potenciales basados en ingeniería social.
Medidas para evitar ataques a los canales de comunicación
Las empresas pueden tomar dos medidas para combatir este delito: medidas proactivas que puedan implementar internamente y medidas a largo plazo que requieran lobby y sindicatos.
Las empresas pueden tomar las siguientes medidas proactivas:
-
Manténgase alejado de los mensajes de texto y los canales de correo de voz: Sería ideal si esto fuera posible. Reemplace los SMS y los canales de voz tanto como sea posible con notificaciones automáticas, correos electrónicos, chats en la aplicación y autenticadores para 2FA.
-
Esté atento a las facturas del canal de mensajería: Pídale a su proveedor que le proporcione actualizaciones de facturación en tiempo real y que marque/dispute facturas cuando el costo unitario exceda un umbral de costo para mensajes o llamadas regulares. Desactive los canales de voz y SMS una vez que se alcance un umbral de costo general.
-
Bloquear entregas de PRN: Insiste en no pagar por llamadas o mensajes enviados a números de tarifa premium. Estructura el contrato de esta manera para evitar facturas elevadas. Esto ayudará a combatir el fraude por SMS.
-
Adopte medidas de defensa contra bots en los canales de mensajería: Esta es una métrica de enrutamiento, pero si estos canales son absolutamente necesarios, adopte una defensa contra bots en estos flujos. Los atacantes suelen utilizar bots para escalar estos ataques. Las plataformas de defensa contra bots no pueden erradicar el problema, pero pueden ayudar a controlar las facturas.
-
Aplicar geocercas: Aplicar geocercado en transmisiones digitales que implican la activación de mensajes o llamadas de voz. Normalmente, estos ataques se originan fuera del país de origen para evitar el procesamiento.
Las siguientes medidas a largo plazo pueden ayudar significativamente a las empresas:
-
Coalición para ejercer presión sobre los operadores de redes: Las empresas pueden unirse para negociar con operadores de red y proveedores de software telefónico como servicio (SaaS) para modernizar sus infraestructuras y adoptar mejores controles contra el fraude. A menos que se les obligue a hacerlo, los proveedores de redes tienen pocos incentivos para reducir los ingresos generados por el fraude de peajes.
-
Coalición de lobby con organizaciones gubernamentales: Las empresas pueden formar una coalición para presionar a las agencias gubernamentales para que traten a los operadores de red de manera más estricta, especialmente a aquellos que sufren más abusos por parte de los atacantes. Las agencias gubernamentales pueden obligar a los operadores de redes a mejorar su infraestructura y adoptar medidas de confianza cero de manera más proactiva. Del mismo modo, se debería exigir a los proveedores de telefonía SaaS que adopten mejores medidas de control del fraude.
Aunque el fraude ha pasado factura a varias empresas, algunos gobiernos han comenzado a tomar medidas contra los proveedores de redes que no toman las medidas necesarias para proteger los intereses comerciales. La Autoridad Australiana de Comunicaciones y Medios (ACMA), por ejemplo, está implementar políticas estrictas y penalizar a los operadores de red que las violen. Pero el gobierno aún no ha tomado medidas más amplias. Mientras tanto, las empresas deben valerse por sí mismas para proteger sus ingresos.