En el artículo anterior hemos visto en qué consiste el fraude telefónico y porqué estos grupos organizados actúan hackeando centralitas telefónicas y accesos voip. Veamos ahora qué medidas deberemos tomar para que no nos cojan desprevenidos y que los daños posibles sean mínimos.

 

Soluciones propuestas

  1. Tome las medidas de seguridad adecuadas en el uso de la telefonía
  • Restricción selectiva de llamadas salientes. Es posible restringir llamadas salientes por destinos o por extensiones. Si solamente unas pocas personas harán llamadas internacionales, se pueden bloquear para todas las demás extensiones.
  • Revisar y reforzar las normas relativas a las contraseñas. Es habitual en telefonía que las claves sean numéricas y de pocos dígitos, siendo contraseñas vulnerables. Usar claves complejas o más largas.
  • Protección robusta para llamadas salientes y entrantes al exterior.
  • Crear diversos niveles de permisos de administración
  • Actualizar constantemente la base de datos del sistema, enfocándose en la eliminación de usuarios anteriores

 

  1. Tenga especial cuidado con el servicio de telefonía voip
  • Revisar agujeros de IPs y puertos abiertos, usados habitualmente en este tipo de ataques. La mayoría de ataques son a través de agujeros en la red informática del cliente.
  • Contraseñas WiFi. Debemos tener cuidado que la telefonía voip es accesible si se cuelan a la red informática, y eso incluye el acceso por wifi.
  • Usar un proveedor VOIP confiable. Sus servidores deben estar debidamente securizados y protegidos respecto accesos indebidos.
  • Mantener una IP fija con el operador voip. Es una medida de protección adicional si la telefonía sólo la tenemos disponible desde la IP fija de la oficina. Sin embargo esto dificulta un despliegue en múltiples sedes, el teletrabajo, y usuarios remotos.
  • Cambiar claves de configuración en terminales. Los teléfonos SIP tienen una clave de fábrica para la configuración. Es recomendable cambiarlo por una clave secreta.

 

  1. Reforzar la concienciación sobre el problema de la compañía
  • Realizar campañas y jornadas de información sobre la importancia de las prácticas de seguridad básicas y el impacto de su cumplimiento y/o incumplimiento (riesgos legales y económicos)
  • Normas de uso. Recordar por diversos medios a los empleados algunas normas de confidencialidad de sentido común que típicamente son ignoradas, tal como no proporcionar nunca datos referidos a: códigos personales, nombres, sistemas de respuesta interactiva para acceso directo a los buzones de voz
  • Reporte de incidencias. Crear líneas directas dónde puedan ser reportados cualquier tipo de incidencia o actividad inusual del servicio de telefonía

 

Reflexión de futuro

Será difícil asegurar que se puedan eliminar en su totalidad las brechas que causan debilidades en los sistemas telefónicos, pero el tomar acciones preventivas y no reactivas ante tales amenazas, creará un ambiente de fidelización en la seguridad de dichos sistemas cada vez mayor.

Sin importar que métodos implemente la empresa en determinados momentos para salvaguardar sus sistemas telefónicos, es de importancia vital que la seguridad de dichos sistemas sea un proceso que genere valor a la compañía, de acuerdo a los objetivos planteados por la organización.