Por: Carlos Cordero.   22 noviembre, 2018
El fraude de importación y exportación de tráfico internacional se genera mediante el acceso no autorizado a la central telefónica de una empresa y su manipulación para realizar llamadas ilegalmente.
El fraude de importación y exportación de tráfico internacional se genera mediante el acceso no autorizado a la central telefónica de una empresa y su manipulación para realizar llamadas ilegalmente.

Un fraude cibernético o telefónico ocurre de un momento a otro, pero las pérdidas y los problemas derivados traen un lastre mucho mayor.

En tres días a Ganaderos Industriales de Costa Rica (GICO), ubicada en Alajuela, le hackearon la central telefónica y la utilizaron para tramitar por ahí llamadas internacionales, las cuales sumaron ¢18,9 millones.

Ante el reclamo de GICO contra el operador Telefónica, que utiliza la marca Movistar para comercializar sus servicios, la Superintendencia de Telecomunicaciones (Sutel) repartió culpas y les ordenó asumir por partes iguales ese monto más los cargos adicionales: impuestos de ventas, 911 y Cruz Roja.

El hackeo se produjo los días 1, 2 y 3 de enero del 2017. Los ciberdelincuentes utilizaron la central telefónica IP PBX de la empresa, que usa dos líneas E1 contratadas: una a Telefónica y la otra al Instituto Costarricense de Electricidad (ICE).

El 25 de enero de ese año GICO interpuso la reclamación ante Sutel. Cinco meses después, el regulador determinó las responsabilidades de ambas partes.

También ordenó que Ganaderos Industriales debía asumir los costos de tráfico nacional de dicho mes.

Se ordenó a GICO, además, actualizar los sistemas de seguridad para detectar, prevenir y evitar usos inadecuados, fraudes y ataques cibernéticos, utilizar claves robustas y configurar su firewall, un dispositivo de seguridad que monitorea el tráfico que entra y sale de una red.

A Movistar, la Sutel le ordenó mejorar su sistema de detección y prevención, de manera que se garantice una respuesta inmediata ante indicios de fraude, en cumplimiento de lo que establece el reglamento de protección al usuario final.

El operador presentó a finales de agosto de ese año un comprobante de cumplimiento de lo ordenado por la Sutel.

“La seguridad en la red de Telefónica nunca estuvo comprometida”, sostuvo José Pablo Rivera. “Todos los clientes de Telefónica Movistar pueden tener plena confianza de que nuestra red opera bajo estrictos estándares internacionales de seguridad y que los sistemas de alerta actuales funcionan correctamente”.

La Sutel, hasta el momento, no cuenta con ninguna otra denuncia por este tipo de situación, pero sí tiene reportes de las autoridades judiciales sobre páginas web, alojadas en el extranjero, que enmascaran una llamada internacional con un número de teléfono.

La Superintendencia indicó que, si alguna persona o entidad se ve afectada por esta situación, lo que corresponde es presentar la denuncia ante las autoridades judiciales, quienes contarán con el apoyo técnico del Regulador cuando así lo requieran.

El fraude de importación y exportación de tráfico internacional se genera mediante el acceso no autorizado a la central telefónica de una empresa.

El hacker manipula de forma remota la central para usar troncales locales y equipos de conmutación de la empresa perjudicada para traficar ilegalmente llamadas.

En estos casos, como ante el fraude a cuentas electrónicas y el secuestro de datos, solo cabe adoptar las medidas de seguridad requeridas.

Las empresas deben tener “firewall”, sistemas de monitoreo, cambios de claves de acceso y mecanismos para la protección de generación de llamadas de forma remota, entre otras medidas.
Las empresas deben tener “firewall”, sistemas de monitoreo, cambios de claves de acceso y mecanismos para la protección de generación de llamadas de forma remota, entre otras medidas.
Apelación

GICO no estaba satisfecha con la decisión de la Sutel de repartir las culpas y apeló lo resuelto por el equipo de investigación, la Dirección de Calidad y el Consejo Directivo de la Superintendencia.

El regulador volvió a ver con lupa el problema de la central telefónica y falló en el mismo sentido en enero del 2018.

Entonces GICO elevó el conflicto a los tribunales de justicia.

“Está en proceso”, respondió José Campos, representante legal de la empresa. “Por recomendación de los abogados, no nos referiremos al caso”.

La empresa había reiterado ante Sutel que la culpa no puede ser compartida y que esta recae en Movistar, dado que le corresponde la seguridad del funcionamiento del servicio.

“Movistar ofreció y vendió un servicio, el cual se procedió a instalar en el equipo que tenía la empresa, sin deparar en brindar explicaciones o procedimientos para salvaguardar su seguridad”, insistió GICO ante la Superintendencia.

No le hicieron mucho caso. La Sutel sostuvo que GICO es la responsable por la seguridad y por el mantenimiento correctivo y preventivo de sus equipos, en este caso de la IP PBX que fue adquirida a una empresa local y la cual recibe soporte y mantenimiento de otra firma distinta.

De acuerdo con Sutel, se acreditó que la central telefónica tenía un firewall con varios puertos abiertos, no tenía sistemas de monitoreo, no hubo cambios de claves de acceso (usaba la que traía configurada el equipo) y no contaba con mecanismos para la protección de generación de llamadas de forma remota.

Sutel recalcó la instrucción a GICO de implementar prácticas y sistemas robustos y suficientes para la protección de los equipos, tales como cambios periódicos de claves, conexiones remotas solo por redes virtuales privadas o VPN y configurar alarmas.

Además, adquirir módulos de seguridad, implementar sistemas de prevención y detección de intromisiones, llevar bitácora, contar con personal capacitado y deshabilitar la gestión remota en periodos no hábiles.

Argumentos 
Alegatos de GICO ante la Sutel:
No hay culpa compartida: La seguridad del servicio es responsabilidad legal y operativa del operador, aunque la central sea provista por un tercero. 
No hubo advertencia: El operador debió señalar las debilidades de seguridad del equipo a la hora de vender e instalar el sistema.
No se indicaron estándares: El operador no hizo señalamientos sobre los estándares de seguridad de la central telefónica.
Deuda: El operador debió explicar los sistemas de seguridad, operación y funcionamiento, y advertir debilidades y uso inadecuado que detecte.
Negligencia: El operador tiene sistemas para detectar uso inadecuado de los servicios, pero hubo negligencia.
Fuente: Sutel, acta sesión ordinaria 006-2018
El operador

Sutel también reiteró que la firma Movistar no es parte de la relación comercial ni tiene compromiso con la adquisición, instalación y configuración de la central.

El mismo contrato entre GICO y Movistar –para un servicio E1 de 30 canales para telefonía fija que se conecta a la PBX y un enlace de Internet con tecnología MPLS de 10 Mbps– estipula que la primera es responsable incluso de la seguridad de los equipos instalados por el operador.

Rivera, de Telefónica, recalcó esta conclusión.

“Esta resolución de hecho declara sin lugar en todos los extremos el recurso de la empresa que pretendía que Telefónica asumiera la responsabilidad por la seguridad de su equipo terminal, equipo que se comprobó fue el que sufrió el hackeo”, insistió Rivera.

Sin embargo, la resolución de la Sutel indica claramente que Telefónica sí es responsable de la seguridad de la red de telecomunicaciones, así como de prevenir y detectar fraudes en los servicios prestados.

También es responsable, dijo Sutel, de reaccionar y generar alertas de forma oportuna cuando se detectan fraudes, según las mejores prácticas internacionales.

“Se acredita que Movistar tuvo una reacción tardía, pues tardó aproximadamente 30 horas en alertar sobre el tráfico fraudulento, lo cual evidencia que los sistemas implementados por Movistar no son suficientes ni idóneos”, se indica en el acta del Consejo Directivo de la Superintendencia.

La Sutel reiteró que la responsabilidad en este caso es compartida.

“Las debilidades comprobadas en los sistemas de ambas empresas (GICO y Movistar) facilitaron el fraude del que fue víctima la empresa GICO”, concluye Sutel, con lo cual dio por agotada la vía administrativa.