El fraude en el sector de telecomunicaciones a nivel internacional se estima en 40.000 millones de dólares. Afecta a los operadores especialmente en lo que a fugas de ingresos, calidad de servicio y gestión incidencias se refiere, así como a los usuarios ya sea de forma económica o de violación de sus datos personales.
Según datos de la unidad de ecrime de la compañía española de seguridad S21sec, los principales fraudes que rodean a las compañías de telecomunicaciones y a sus usuarios se centran en tres tipos de riesgos: el robo de datos, el fraude y la suplantación de identidad.
Las grandes amenazas… y cómo evitarlas
- 1. Robo de datos
- Ingeniería social. Los delincuentes se las ingenian para engañar a los propios usuarios o a los teleoperadores, ya sea por teléfono, por correo electrónico o mediante webs falsas, para ganarse su confianza y conseguir acceder de forma no autorizada a sus datos personales.
è ¿Qué hacer? El usuario o los teleoperadores no deben dar ningún dato personal, ya sea por teléfono o correo electrónico, o incluso en webs falsas que tratan de suplantar la identidad de la operadora, salvo que se tenga muy claro que quien está al otro lado es realmente la operadora. Debe evitarse entregar datos cuando se han recibido llamadas con identidad oculta, o solicitados por correo electrónico o en webs falsas.
- Hackeo de buzones de voz. Los delincuentes aprovechan brechas de seguridad o utilizan diversas técnicas para acceder de forma no autorizada a los buzones de voz y hacerse con la información que puedan contener.
è ¿Qué hacer? No activar el acceso desde el propio teléfono fijo o móvil o desde otros teléfonos a menos que exista autenticación por contraseña y sea posible cambiarla. Se deben cambiar siempre las contraseñas por defecto y realizar cambios periódicos de contraseña, tanto las del buzón de voz como las de cualquier cuenta de usuario en la que la contraseña inicial se genere de forma automática como por ejemplo en el canal web de la operadora.
- Riesgos en la descarga de aplicaciones. El aumento del uso de aplicaciones en los dispositivos móviles se ha multiplicado con la llegada de los smartphones y tabletas, elevando ostensiblemente las amenazas para el usuario, que tiene que lidiar con las nuevas prácticas fraudulentas que los delincuentes están introduciendo en este mercado en alza.
è ¿Qué hacer? Procurar evitar rootear los dispositivos móviles, no descargar aplicaciones de mercados no oficiales u otros sitios de Internet, no instalar aplicaciones al menos que realmente se vayan a usar, borrar periódicamente las que no se usen habitualmente, evitar la instalación de aquellas que solicitan permisos excesivos o innecesarios para su finalidad.
- 2. Fraude
- Hackeo de centralitas PBX. Las centralitas privadas (PBX) son cada vez más accesibles mediante Internet, por lo que los delincuentes buscan centralitas no bastionadas adecuadamente a fin de acceder sin autorización y dar de alta en ellas números de teléfono por medio de los que realizar comunicaciones no autorizadas con el consiguiente impacto económico para el propietario.
è ¿Qué hacer? Las empresas deben configurar y actualizar adecuadamente las PBX, revisar y monitorizar periódicamente la configuración, los teléfonos dados de alta, los datos de tráfico y las facturas.
- Ingeniería social para comunicaciones a servicios Premium. Los delincuentes aprovechan el desconocimiento de los usuarios para solicitarles una serie de acciones para la contratación de servicios premium fraudulentos de casi imposible baja.
è ¿Qué hacer? Evitar la atención a peticiones de llamadas o envío de mensajes a números de tarificación especial o Premium como por ejemplo para acceder a premios de concursos en los que no se era partícipe. Tampoco hay que devolver llamadas perdidas hechas desde estos números. A esto hay que añadir la recomendación de no facilitar el número a quienes llamen pidiéndolo o en páginas web de dudosa apariencia para acceso pretendidamente gratuito a informaciones, descargas de melodías o de archivos de cualquier tipo.
- Aplicaciones maliciosas para comunicaciones a servicios Premium. Un caso similar al anterior pero utilizando aplicaciones móviles con otra finalidad.
è ¿Qué hacer? Hay que desconfiar de aplicaciones que piden permisos para realizar llamadas o enviar mensajes de texto con nula relación con su pretendida finalidad.
- 3. Suplantación de identidad
- Utilización del acceso a Internet para suplantar la identidad de particulares y de empresas. Por medio de la infección, ya sea tanto de ordenadores como smartphones y tabletas, los delincuentes emplean las capacidades de procesamiento y comunicación de estos en la comisión de delitos. Ello puede hacer que los usuarios de los dispositivos infectados se vean inmersos en procesos judiciales como pretendidos partícipes en la actividad delictual.
è ¿Qué hacer? Instalar y renovar antivirus, actualizar aplicaciones periódicamente, desinstalar las aplicaciones en desuso, utilizar contraseñas robustas y cambiarlas periódicamente, evitar picar en los correos de phishing, procurar evitar las conexiones a redes WiFi públicas,…
Según explica Álvaro del Hoyo, responsable de Desarrollo de Negocio Telcos e Internet de S21sec, “La paulatina evolución y mejora de las medidas de seguridad en el sector financiero ha provocado que las cifras de fraude de otros segmentos más débiles a la hora de defenderse de amenazas, como el de las Telcos, se incrementen, presentándose nuevos vectores de ataque”. Y añade: “Los casos de fraude han de relacionarse con la nueva legislación aplicable en el sector que obliga a gestionar adecuadamente las violaciones de datos personales, teniendo que notificarlas a la AEPD e incluso en algunos casos de forma pública dirigida también a los usuarios afectados, para lo cual se hace preciso definir e implantar prácticas para prevenir, detectar y gestionar los incidentes, en lo que S21sec viene trabajando desde sus orígenes en todos los sectores y especialmente en el financiero”.