Esta publicación es un análisis global sobre fraude en las comunicaciones que realiza la Communications Fraud Control Association o CFCA.

La CFCA comenzó en Febrero de 1985 en Roseland, New Jersey (EEUU) como un grupo de profesionales de la seguridad concienciados sobre el fraude en las telecomunicaciones, intentando encontrar una manera más eficiente de combatirlo, en el que había representantes de AT&T, ITT, MCI o Network One entre otras.

El alcance de esta asociación tuvo como consecuencia la expansión e inclusión de ISP´s, proveedores de cable y satelitales, desarrolladores de sistemas contra el fraude, proveedores de VoIP, miembros de los cuerpos y fuerzas de seguridad del estado, consultores, etc, contando actualmente con más de 200 corporaciones que aúnan esfuerzos y elaboran informes acerca del estado del fraude, así como nuevas tendencias cibercriminales en todo el mundo.

Desde 2009 y cada dos años, elaboran una estudio entre los miembros de la asociación para la elaboración de estadísticas, y de ellas se puede sacar mucha información concluyente a ser analizada por todas aquellas compañías / organizaciones que necesitan y prestan servicios de seguridad de la información, como es el caso de Secure&IT.

De entre todas las organizaciones y corporaciones consultadas, se han obtenido resultados de 93 ISP´s alrededor de todo el mundo, de menos de 1.000 empleados a organizaciones de mas de 100 mil, incluyendo proveedores de Wireless, banda ancha, voz, datos o servicios financieros, localizados en las siguientes regiones:

Las informaciones arrojadas a la luz por esta asociación son muy a tener en cuenta, teniendo como puntos fuertes los siguientes datos:

En 2013, año de la realización del último estudio, se estima que el fraude en las telecomunicaciones alrededor del mundo se encuentra en 46.3B$, incrementándose en un 15% desde el último estudio en 2011 debido a la cada vez mayor implementación de entornos Wireless.

De los organismos consultados, el 94% creen que la pérdida global por fraude se ha incrementado o es la misma desde 2011, por tan solo el 4% que afirma que se ha reducido desde el último estudio.
Un dato a tener en cuenta entre todas las organizaciones, es cuánta gente está especializada en organizaciones para la lucha contra el fraude y qué personas se encargan de ellos, siendo estos los resultados:

Comparando los resultados con el estudio de 2011, el crecimiento de los departamentos de fraude ha crecido un 2% desde entonces. Sin embargo, las grandes compañías han reducido sus puestos de Analistas de Fraude en un 5% debido a la crisis económica, con numerosas compañías que informaron que solo una persona se encargaba de este tipo de análisis.

Otro dato interesante, y ya son varios, radica en conocer qué volumen de incidentes analizan las organizaciones al mes por regiones, con el que podemos ver en los siguientes gráficos, mensualmente y globalmente al año:

De lo anterior se desprende además, que de media, los departamentos de fraude reportaron un 117% más casos por mes desde 2011, sobre todo en América del Norte y Europa Occidental.

Otro dato curioso es conocer, de todo ese volumen de fraude, cuánto es puesto en conocimiento de las autoridades competentes, el cual solo alcanza el 11%.

Finalmente, los siguientes datos se organizan por tipo y método de fraude:

Vamos a intentar desgranar en qué consisten algunos de los métodos de fraude anteriormente listados, como por ejemplo el fraude en la subscripción , con un total de 5.22 B$, consistente en dar de alta servicios con nombres falsos o identidades inexistentes, cuyas facturas nunca serán abonadas y que suelen ser dados de baja a los pocos meses de la actividad.
En segundo lugar tenemos PBX Hacking, con un fraude que ascendería hasta los 4.42 B$. Sus ataques consisten en abusar de dispositivos SIP y centralitas que se encuentran accesibles en Internet para todo el público y que no han sido debidamente filtrados sus accesos, siendo un blanco fácil de scanners automáticos que hacen todo el trabajo: buscan, comprometen servicios / accesos, notifican a los cibercriminales, y a partir de aquí, llamadas a números Premium contratadas por los propios delincuentes, llamadas de larga distancia, SPAM telefónico, etc.
Hay que mencionar que no solamente se pueden realizar estafas como las mencionadas, sino que los atacantes podrían incluso, monitorizar el tráfico de manera pasiva y analizar los ficheros de audios, extrayendo las conversaciones en caso de que no exista cifrado en la señalización, transporte, o ambos, tonos DTMF , que son los sonidos que generan los terminales cuando pulsamos los números del 1-9, abriendo una ventana adicional en la que información sensible se podría extraer de la interacción de los usuarios con locuciones ( IVR´s de compañías telefónicas, banca, etc. )
Un término interesante que seguro los lectores pueden haberse preguntado de la anterior lista se denomina “Wangiri”, que se originó en Japón y que más de uno podría haber colaborado inadvertidamente. Wangiri significa “One ring and cut”, y se trata de realizar llamadas masivas a números aleatorios, donde el usuario que recibe la llamada, la “devuelve”, con la típica frase “Hola, tengo una llamada perdida suya…”.

Normalmente, este fraude no implica llamadas de larga duración, ya que el usuario por lo general corta la llamada a los pocos segundos, por lo que el impacto sobre una sola persona puede no ser muy alto, pero si sumamos cientos de personas, hace que el enriquecimiento ilegal aumente, y teniendo en cuenta que poca gente llevará el caso a manos de la Justicia cuando le llegue un recargo adicional de pocos céntimos o euros, parece una alternativa interesante unida a otras técnicas de fraude que pueden ir sumando ganancias.

Como podemos observar, los datos son abrumadores, las compañías y organizaciones tienen la necesidad imperante de securizar sus sistemas empleando el método de Defensa en Profundidad, comenzando desde la educación, pasando por electrónica de red, aplicaciones y metodologías redundantes que permitan una mayor visión de lo que está sucediendo, siendo la única manera de frenar esta tendencia y poder tomar acciones preventivas, proactivas y reactivas en última instancia.

DANIEL CALVO CASTRO
DPT SEGURIDAD SECURE&IT

REFERENCIAS: http://www.cfca.org

by