APOYO

Fraude de peaje

Prevención del fraude en los peajes y rendición de cuentas

¿Qué es el fraude en el peaje?

El fraude de peaje es el uso no autorizado de sus líneas telefónicas, equipos o servicios para hacer llamadas de larga distancia que se le cobran a usted. El fraude en el peaje es una actividad ilegal similar a la piratería informática. Se trata de un problema mundial que afecta a toda la industria y que supone más de mil millones de dólares al año. El fraude de peaje adopta muchas formas, incluyendo el fraude de teléfonos móviles, tarjetas de llamadas, teléfonos de pago y el fraude de larga distancia en las llamadas realizadas a través de sistemas telefónicos (pirateo de centralitas). Es un problema lo suficientemente importante como para que muchos de los principales proveedores de servicios telefónicos de larga distancia cuenten con un departamento específico para identificar y tratar los problemas de fraude en los peajes.

Aviso a los clientes de United Telephone Association, Inc. y United Communications Association, Inc. (UNITED) sobre el fraude de peaje
  • Cuidado con el fraude en el peaje.
  • El fraude de peaje es un delito contra usted. UNITED no es responsable de su fraude de peaje.
  • Debe tomar medidas para protegerse del fraude de peaje.
  • UNITED NO GARANTIZA QUE SUS PRODUCTOS SEAN INMUNES A LOS FRAUDES DE PEAJE O LOS EVITEN. UNITED NO SERÁ RESPONSABLE DE NINGÚN CARGO, PÉRDIDA O DAÑO QUE RESULTE DEL FRAUDE EN EL PEAJE.
Identificar los sistemas informáticos que requieren protección
  • Cree una lista de todos los equipos y defina el grado y la naturaleza de sus vulnerabilidades.
  • Establecer el impacto económico u otros impactos si el equipo se ve afectado, desconectado o dañado.
  • Establezca prioridades en los ordenadores con mayor vulnerabilidad y/o impacto.
  • Plan de reducción de la vulnerabilidad de las estructuras.
  • Crear planes de emergencia y de contingencia.
  • Compruebe con su proveedor de PBX/Pasarela SIP las posibles vulnerabilidades o riesgos.
  • Documente los resultados de todo lo anterior.
Las contraseñas deben incluir letras mayúsculas y minúsculas, un número y un carácter (por ejemplo: ¡JaneJohnJoined87!)
  • Considere que la longitud mínima es de al menos 16 caracteres que requieren el uso de caracteres especiales, letras mayúsculas y minúsculas y números.
  • Defina la frecuencia con la que debe cambiarse la contraseña en función de la importancia de la información protegida.
  • Definir políticas relativas al bloqueo o cierre de una cuenta (peers) al introducir un determinado número de veces una contraseña incorrecta. AVOXI recomienda bloquear después de 3 intentos fallidos.
  • Determine si las contraseñas son administradas por cada usuario final, por el personal de tecnología de la información (TI) o por ambos.
Crear un procedimiento operativo estándar (SOP) para las contraseñas
  • Aunque parezca obvio, las contraseñas son una de las mejores armas que puede utilizar en la batalla contra el fraude en los peajes. Si has elegido una contraseña simple que incluye tu nombre u otra información pública, o incluso has mantenido la contraseña predeterminada de fábrica para tu centralita, te estás exponiendo a un ataque.
  • Lo primero y más importante (y no podemos recalcarlo lo suficiente) es que siempre restablezca la contraseña por defecto de su centralita. Cuando cree uno nuevo, asegúrese de incluir una combinación de letras minúsculas y mayúsculas, caracteres especiales y números. También debes asegurarte de que tu contraseña tenga al menos 8 caracteres.
  • También es una buena idea cambiar la contraseña de la centralita cada vez que un empleado que tenía acceso anteriormente deje la empresa. (No es algo personal, es sólo una buena práctica).
Configurar un cortafuegos

El Protocolo de Iniciación de Sesión (SIP) se utiliza a menudo con cortafuegos que ayudan a proteger los sistemas telefónicos de VoIP contra el fraude. Un cortafuegos basado en SIP, que inspecciona tanto los paquetes de voz como los de datos a su paso por la red, puede utilizarse como filtro para las llamadas fraudulentas.

Aplicar restricciones a las llamadas internacionales

Muchos sistemas telefónicos de VoIP pueden configurarse para restringir totalmente las llamadas internacionales o para permitir un acceso seguro. Si su empresa realiza muchas llamadas telefónicas internacionales, considere la posibilidad de añadir una capa adicional de seguridad, como un código de autorización que debe introducirse antes de realizar una llamada internacional o de larga distancia.
Si no estás seguro de cómo añadir esta precaución adicional, ponte en contacto con tu proveedor de servicios VoIP para que te ayude.

Educar a los empleados sobre el uso de los ordenadores y las mejores prácticas
  • Informe al administrador de la red o al personal de TI sobre cualquier comportamiento irregular, como la reducción de la velocidad de la red de datos o la depreciación de la calidad de las llamadas.
  • Siga las políticas y directrices establecidas en el plan de seguridad.
  • Informar a los empleados sobre el phishing y sobre los posibles perjuicios derivados de la divulgación de contraseñas u otra información personal o empresarial.
Controlar los registros de llamadas a diario o semanalmente si es posible

Este es otro paso sencillo pero importante para prevenir el fraude en los peajes. La mayoría de las interfaces de los sistemas telefónicos de VoIP le permiten hacer un seguimiento de las llamadas entrantes y salientes; asegúrese de revisarlas semanalmente (si no diariamente).

Si su negocio es principalmente nacional, cualquier llamada internacional debería ser una señal de alarma. Las empresas que realizan muchas llamadas de larga distancia deben conocer los países en los que se producen más fraudes de peaje.

Según la Encuesta Global de Pérdidas por Fraude 2013 de la CFCA, los cinco principales países donde termina el fraude en los peajes son:

  • Letonia
  • Gambia
  • Somalia
  • Sierra Leona
  • Guinea
Retrocede… Retrocede… Retrocede… Todas sus configuraciones
  • Mantener actualizadas las copias de seguridad de las bases de datos y los procedimientos de restauración de datos, bien documentados.
  • Imprime y guarda en lugares seguros la configuración actual de todos los ordenadores de la red.
  • Si es posible, fotografíe los equipos y las conexiones y guárdelos en un lugar seguro.
  • Utilizar la información para restaurar la red y sus componentes en caso de que no se autorice o se manipule el equipo.
Proteger el sistema telefónico con equipos/software de seguridad especializados

En entornos grandes, es aconsejable utilizar cortafuegos físicos. En las pequeñas y medianas empresas, es posible utilizar cortafuegos basados en software o aprovechar los routers existentes para implementar las funciones de cortafuegos.

Implantar al menos uno de los siguientes servicios:

  • Servidores proxy: cuando se considere necesario implementarlos. Puede definir políticas y permisos de ancho de banda para el uso de Internet o fuera de la red de la empresa.
  • Servidores AAA (Autenticación, Autorización, Contabilidad): se puede utilizar RADIUS (gratuito) o TACACS+ (propietario).
  • Servidores SysLog: en empresas con un gran número de ordenadores para centralizar los registros en un único punto de control.
  • IPS o IDS Dispositivos de seguridad para detectar con antelación alertas de comportamientos inusuales en la red y posibles hilos.
Crear y utilizar las funciones de seguridad en TODOS los ordenadores
  • Desactivar todos los servicios o protocolos no deseados en routers, firewalls y otros equipos de la red que no estén en uso y puedan ser accesibles a un ataque (por ejemplo: H.323, SIP, CDP, servicios TCP, UDP, RTP, ICMP, FTP, VNC, TFTP)
  • Utilizar protocolos de seguridad como IPSec VPNs como, PPTP, L2TP.
  • Utilice el protocolo SSH (Secure Shell) en lugar de Telnet.
  • Usar NAT para ocultar las IPs de la empresa.
  • Cifra los enlaces utilizando esquemas de cifrado reconocidos como DES, 3DES o AES. Y utilizar las claves de al menos 128 bits.
  • Evitar el uso de la mayoría de los DHCP (Dynamic Host Configuration Protocol), evitando la asignación de direcciones IP de forma automática.
Garantizar la configuración y la supervisión adecuadas para su PABX, PBX o centralita
  • Restringir el acceso a las redes internacionales desde las extensiones internas de la centralita no autorizadas.
  • Establecer un administrador para autorizar extensiones o usuarios con permisos especiales (llamadas internacionales); documentar y guardar en un lugar seguro.
  • Utilizar el PIN para los servicios telefónicos: muy recomendable en algunos casos.
  • No coloque los servicios telefónicos en zonas sin vigilancia o al alcance de personas ajenas a la empresa.
  • Establezca un plan de supervisión frecuente de los registros, como los CDR, los registros y las facturas generadas por su centralita y su proveedor, para verificar y analizar las llamadas no autorizadas.
  • Para las llamadas internacionales, mantenga una documentación actualizada de los destinos habituales de la empresa (país, número de oficinas remotas, oficinas de origen y proveedores) y compare periódicamente los registros de la centralita. En caso de diferencias importantes, tome las medidas adecuadas y siga los procedimientos indicados en el plan de seguridad.
  • Restringir o eliminar las categorías no utilizadas, como DISA (Direct Inward System Access) que pueden ser utilizadas por usuarios no autorizados para acciones fraudulentas o para un uso inmoral/no ético.
  • Generar alarmas al detectar tráfico nacional o internacional en días y horas no laborables.
  • Cuando detecte un evento irregular o una variante en el comportamiento de la llamada, informe inmediatamente a su proveedor
Qué esperar de su proveedor

Los mejores proveedores de VoIP realizan un seguimiento del fraude las 24 horas del día. El uso de reglas de detección permite a su proveedor suspender el servicio inmediatamente si hay un indicio de actividad fraudulenta. El análisis de los patrones de llamadas de un cliente, las llamadas internacionales inusuales -en volumen o ubicación- y otras aberraciones proporcionan indicios de actividad fraudulenta. AVOXI incorpora la monitorización del fraude y la notificación al cliente de actividades sospechosas como parte de su servicio para ayudar a sus clientes a mantener sus conexiones VoIP seguras. Para obtener la mejor seguridad, las empresas deben ser conscientes de los riesgos potenciales y comprender su papel en la prevención del fraude en los peajes.

Cómo proteger su sistema de telefonía VoIP del fraude de peaje

Aunque los proveedores de VoIP están haciendo grandes progresos en materia de seguridad, sigue siendo importante que las empresas sean conscientes de cualquier riesgo potencial y comprendan el papel que desempeñan en la prevención de los fraudes de peaje.

Rendición de cuentas
  • Las consecuencias financieras del hackeo de centrales telefónicas suelen desencadenar un frenético juego de culpas, en última instancia:
  • La empresa exigirá que alguien rinda cuentas.
  • El transportista en cuestión está legalmente autorizado a cobrar sus honorarios y la empresa es legalmente responsable de pagar la factura.
  • El asesoramiento jurídico solicitado por la empresa generalmente les anima a no impugnar un caso que no pueden ganar.
  • El VAR (proveedor de PBX) argumenta que no puede ser responsable de las violaciones de seguridad porque configuró la PBX según las especificaciones de su cliente, a la vez que proporcionó herramientas de autoadministración y formación. La responsabilidad de la seguridad de la red siempre recae en la empresa.
  • La Policía tiene dificultades para investigar debido a la falta de regulación transfronteriza y a las barreras lingüísticas internacionales, lo que se traduce en cero procesamientos.

La gran mayoría de los casos reportados resultan en:

  • Muy pocos procesamientos
  • La responsabilidad nunca se establece
  • La empresa tiene que llegar a un acuerdo con el transportista
  • La experiencia general deja a la empresa muy frustrada, expuesta económicamente y vulnerable a nuevos ataques.
  • Las relaciones de confianza que se establecen entre el transportista, el VAR (proveedor de centralitas) y el cliente a menudo se tensan más allá del punto de ruptura.
Referencias

https://www.avoxi.com/blog/toll-fraud-prevention/

http://www.callforwarding.com/blog/preventing-toll-fraud-4-things-business-needs-know/