¿Quiers conocer cómo proteger tu centralita de los ciberataques? Descubre los 5 métodos más comunes para hackeen PBX y cómo hacerle frente
Como proteger tu centralita de los ciberataques
By Austen Read – Mc Farland. Wildix
Cuando se trata de evitar ciberataques hay una regla que destaca por encima de las demás, todo lo que está conectado a Internet puede ser hackeado.
Teniendo en cuenta que la telefonía por internet es ya algo muy habitual, una centralita o PBX (Private Branch Exchange) no es diferente de otros dispositivos a estos efectos: VoIP es la forma de comunicación actual y lo más probable es que siga siéndolo. Con este cambio, la regla de oro de la ciberseguridad reclama su lugar: ahora, los sistemas telefónicos son susceptibles de sufrir ataques desde cualquier lugar y en cualquier momento.
De hecho, durante mucho tiempo las PBX han sido un verdadero santo grial para los ciberdelincuentes, precisamente porque muchos usuarios sencillamente no contemplan la posibilidad de que pue dan sufrir un ataque. Solo en 2021, los hackeos en PBX costaron 1.82 mil millones de dólares en todo el mundo, una de las formas de ciberataques más dañinas en las comunicaciones digitales.
Eso implica que siempre que las empresas piensan en las PBX, los packs de características y los resultados comerciales no pueden ser el único objetivo de sus valoraciones. Algo que merece la misma atención (o incluso más) es la cuestión de la seguridad: hasta que punto es vulnerable este sistema? ¿Con cuánta efectividad puede prevenir los ataques?
Para considerar esa cuestión con todos los elementos necesarios, vamos a echar un vistazo a las formas de hackeo más habituales en las PBX y a cómo podemos frustrar los esfuerzos de estos villanos virtuales.
Fuerza bruta
Este es un método que no afecta exclusivamente a las PBX. Sin embargo, sigue siendo muy efectivo, principalmente por la ausencia de conciencia sobre la seguridad en la telefonia en internet.
El método de ataque de fuerza bruta consiste en «forzar el inicio de sesión en un sistema determinado; los piratas introducen un nombre de usuario conocido y buscan opciones predefinidas o contraseñas comunes para completar el acceso
Si los hackers tienen éxito de este modo, las consecuencias pueden ser catastróficas para las empresas. Si un pirata accede a una centralita como si fuera el administrador, tendrá el control de todas las operaciones de telefonia de tu empresa -y lo más probable es que use tu teléfono para realizar llamadas telefónicas largas y muy caras hasta que le cortes la linea.
Ingenieria social
Otro de los aspectos que conviene vigilar es la ingeniería social: cuando un ciberatacante intenta convencer a un objetivo para compartir sus credenciales de acceso voluntariamente. Lo más habitual es que los malhechores envíen a las victimas correos electrónicos o les llamen haciéndose pasar por alguien de fiar (a menudo un compañero) para, después, pedir educadamente su nombre de usuario y contraseña, dar las gracias y adiós muy buenas.
Pero vale la pena insistir en el campo especifico de las centrales telefónicas porque es una táctica muy común: si un ciberatacante prefiere no intentar obtener tus credenciales por la fuerza bruta, es posible que finja ser un técnico, un empleado de tu empresa, un funcionario público o alguna otra figura que necesita desesperadamente acceder a tu sistema como administrador.
No cuesta nada imaginar cuántos problemas puede causar a la empresa afectada un ciberatacante que consigue hacerse con esas credenciales, por ejemplo en forma de miles de dólares en facturas telefónicas o incluso del secuestro total de la red. Por supuesto hay escenarios mucho peores en la lista de posibilidades: imagina lo que ocurriría si contactan con clientes en tu nombre, solicitando que transfieran dinero a una cuenta a cambio de recibir bienes o servicios falsos….Suena terrible, pero es una posibilidad real si la persona equivocada consigue acceder.
Ataque de denegación de servicio (DoS)
Es posible que hayas oldo hablar de estos ataques en contextos especificos de la web, pero que no quepa duda de que es una amenaza recurrente también en PBX.
Un ataque DoS es básicamente un intento de inutilizar un sistema inundándolo con mucho tráfico. En el caso de una centralita, esto implica un número aparentemente infinito de llamadas o solicitudes de acceso, probablemente impulsados por bots y ordenadores controlados por malware. Bajo la enorme presión de miles de solicitudes simultáneas la central telefónica se bloquea, sobrecargada por inmenso volumen de tráfico, y deja de estar operativa, incapaz de responder a todas las órdenes.
Obviamente, este método de hacking no se basa e el engaño como los otros dos. Como las centralitas están normalmente diseñadas para aceptar llamadas y tráfico web desde casi cualquier fuente, todo lo que necesita un ciber malvado para lanzar un ataque es un número de teléfono o una página de incio de sesión.
Partiendo de esta potencialmente sencilla premisa y sus resultados potencialmente invalidantes, debería resultar sencillo comprender por que este es uno de los métodos de ciberataques frente a los que hay que estar especialmente prevenido
Espionaje (eveasdropping)
En la misma línea, si tu PBX no está adecuadamente protegida, es muy posible que los ciberatacantes no siquiera necesiten las credenciales de acceso para sembrar el caos.
Si la centralita no sigue estrictos protocolos de seguridad, puede ser un blanco fácil para que los fisgones escuchen a hurtadillas, incluso sin saber la contraseña del administrador.
Efectivamente, con los medios adecuados un hacker puede sentarse a escuchar todas las comunicaciones que pasen por tu central telefónica, pudiendo incluso alterar los mensajes antes de que lleguen a su destinatario original.
Lo más común es que se produzcan mediante lo que se conoce como un ataque de intermediario: (man-in-the-middle attack). Aquí, el hacker se coloca entre las dos partes que protagonizan la comunicación, indicando a la centralita que es uno de los interlocutores legítimos. En esta posición está «en el medio» y logra interceptar los mensajes cuando llegan para después pasarlos al otro extremo de la línea. Ya lo has entendido: este ataque permite que los cotillas escuchen las conversaciones sin que nadie se dé cuenta.
El peligro que surge aquí es evidente: si estás tratando información confidencial en el teléfono, es posible que la filtres sin ser consciente de ello. Y si, como hemos dicho antes, como ese «intermediario» está accediendo a todos tus mensajes antes de que la otra parte los reciba, también es posible que los manipule (probablemente para conseguir información financiera o credenciales de acceso).
Las PBX que no están diseñadas para hacer frente a ataques de esta naturaleza podrían dejar tus conversaciones a la vista de los ladrones de información en tiempo real.
Puertos sin protección
Igualmente, es posible que usuarios no autorizados accedan a una PBX si algunos canales salientes («puertos») del dispositivo no tienen protección.
Normalmente, estos puertos están protegidos por firewalls digitales que mantienen a raya a intrusos no autorizados. Pero en ocasiones estos cortafuegos se dejan abiertos o quedan desprotegidos de algún modo. Si esto ocurre, los ciberatacantes pueden hacer su agosto.
Una vez dentro de un puerto mal protegido, los ciber villanos seguramente bucearán dentro de la centralita buscando información del usuario: bases de datos de clientes, contraseña… cualquier cosa confidencial.. O peor aún: desde dentro de la PBX, un pirata podría incluso acceder a un módem conectado y, desde ahí, a toda la red de la empresa.
Otra siniestra posibilidad es que un atacante utilice este punto de entrada para configurar una nueva extensión a tu PBX, básicamente añadiéndose a tu plan telefónico. Sin protecciones eficaces, es sencillo que los huéspedes sin invitación se queden más tiempo de la cuenta en tu sistema (e incluso en toda tu red).
Pero… ¿qué es lo que buscan los hackers?
Quizás esta larga lista de métodos de pirateo informático te haga preguntarte qué beneficio pueden conseguir los hackers entrando en tu PBX, Parece demasiado jaleo solo para fastidiarte.
En general, la respuesta es simple: pasta, dinero, parné.
Los ciberdelincuentes con frecuencia obtienen dinero con las ya mencionadas llamadas telefónicas caras y larguísimas. ¿Sabes con cuánta frecuencia se pondrán en contacto con lineas telefónicas de pago por minuto, aparentemente de forma aleatoria? Bueno, adivina quién es el propietario de esos números tan caros.
Si… en muchas ocasiones son los propios hackers o alguien vinculado a ellos.
Con esta estrategia, una PBX desprotegida es como una caja fuerte abierta para los ciberatacantes. Si consiguen desviar una llamada de tu sistema telefónico a su número de teléfono, podrían desviar igualmente dinero de las cuentas bancarias de tu empresa mediante el teléfono.
Alternativamente, los hackers a menudo explotarán las PBX para realizar llamadas no deseadas (spam). Si alguna vez has recibido una llamada de un número desconocido sobre la «garantia adicional de tu coche” o sobre unos impuestos que no sabias que debías, ya sabes de que va esto. Una voz enlatada informa al receptor que tiene que pagar esgrimiendo alguna razón amenazante y seguidamente pide información financiera.
Para conseguir un número saliente (y mantenerse en el anonimato), los ciberatacantes a menudo se apoderan de centralitas existentes y programan sus llamadas automatizadas: Aunque esta práctica no afectará a tu negocio financieramente de forma directa, sin duda caerá sobre ti la mala reputación (por decirlo suavemente) que implica que uno de los numeos de tu empresa esté relacionado con este molesto y abusivo fraude.
Otra posibilidad es que los hackers simplemente asalten un buzón de voz y revisen los mensajes dejados esperando encontrar información personal o contraseñas mencionadas por alguien. Aunque es menos común, esta estrategia también podría ocasionar resultados devastadores si los ciberatacantes encuentran algo que les pueda ser útil.
De una forma u otra, los ciberdelincuentes buscan dinero al entrar en tu PBX y, si tienen éxito, sin duda saldrás perdiendo.
Mantenerse a salvo
Seguir adelante después de sufrir uno de estos ataques es realmente difícil. Los proveedores de telefonía seguramente no estarán dispuestos a asumir las facturas que han sumado ceros por culpa de los ciberatacantes. Es más, reconocer públicamente esta intrusión digital podría resultar muy dañino para la imagen de una empresa de telefonía.
Dicho esto, es mucho mejor intentar evitar que se produzca uno de estos ataques en tu PBX. Para ello, es necesario adoptar una postura proactiva en materia de seguridad, ser muy consciente de las amenazas y los puntos débiles, y contar con una buena dosis de know-how técnico.
Por suerte, esto resulta muchísimo más sencillo si trabajas con un proveedor de PBX competente y actualizado.
En primer lugar, para evitar los ataques de fuerza bruta y métodos similares, es esencial que el sistema VoIP solicite que se cambien las contraseñas tras la implementación inicial. Aunque esto es muy fácil de hacer manualmente, si el programa te obliga a crear una contraseña desde el principio, te puedes ahorrar algún susto. Activar la autenticación de doble factor también corribuira a prevenir accesos no autorizados.
La protección frente a los ataques DoS se puede conseguir igualmente mediante un sistema que bloquee fuentes de tráfico específicas si realizan demasiadas llamadas o demasiados intentos de inicio de sesión. La central sencillamente no responde a las solicitudes entrantes cuando es evidente que se trata de un número intencionadamente abusivo de intentos, asi seguirá en línea y operativa incluso durante estos ataques.
También es posible proteger una PBX del acceso no deseado desde una dirección IP o puertos abiertos mediante un diseño inteligente. Otras capas adicionales de seguridad en la centralita (con medidas como bloqueo en la dirección IP pública del sistema) evitarán la entrada no deseada. Igualmente, los cortafuegos integrados en el dispositivo mantendrán alejados a los ciberatacantes que buscan un hueco por donde colarse.
Además de estos pasos, es crucial que una PBX cuente con medidas de seguridad adicional si alguno de estos cortafuegos iniciales y métodos de bloqueo se rompen. Una de ellas es usar un enfoque multinivel en el diseño de la centralita. En otras palabras: separar secciones de la PBX para todos los datos sean accesibles con un mismo acceso. Adicionalmente, usar medidas de cifrado actualizadas, especialmente TLS 1.2 o superior, detendrá a los invasores e impedirá que consigan pleno acceso o cotilleen.
Wildix usa estas medidas de seguridad y mucha más para garantizar que todas las PBX instaladas son completamente seguras por su diseño (secure-by-design).
Con independencia del uso que hagas de la telefonia, ahora que también funciona con internet es esencial mantener las mismas precauciones y preocuparse por la seguridad tanto como con otros dispositivos. Además de ser conscientes de que los hackers pueden conseguir su información, las empresas tienen que dar los pasos necesarios para proteger sus PBX y sus conexiones con los demás