Buscar

2010/08/27

¿Cuáles son "agujeros" del servicio de voz en las redes corporativas?

iProfesional

En la actualidad, el servicio de telefonía interna de las compañías es considerado por muchos como el de menor complejidad tecnológica.
No obstante, si miramos al servicio como un todo, se observa que el “sistema” no sólo lo integra una plataforma, sino también procesos y al factor humano, los cuales, una vez articulados, no se encuentran exentos de vulnerabilidades y están expuestos a ser utilizados como un medio tecnológico para la realización de fraudes con objetivos principalmente económicos.
Cabe destacar que los costos de ignorar este tipo de vulnerabilidades técnicas pueden llevar a una empresa a enfrentar gastos fuera de presupuesto e incluso, a deber afrontar descargos sobre responsabilidades frente a la justicia de orden nacional o internacional.
En muchas ocasiones, dichas vulnerabilidades surgen por considerar al servicio de telefonía interna como un servicio ya estacionado y sin mayores complejidades operativas, independientemente de la plataforma tecnológica de Voz utilizada y, de los recursos asignados a su soporte, administración y operación.
Además, existen otros factores que facilitan el accionar de los vulneradores, en tal sentido, claramente es un agravante la tendencia evidenciada en algunas compañías que han disminuido progresivamente sus presupuestos para las áreas de planificación, operación y soporte del servicio de voz.
Esto conduce a que el fraude se haga visible en los servicios de telefonía interna corporativa involucrando el uso irregular, no autorizado y, a veces hasta abusivo de los servicios y redes de telecomunicaciones de una o varias empresas.
Estas actividades son realizadas por personas u organizaciones basadas en sus conocimientos específicos de tecnología y en su determinación por alcanzar objetivos de ejecutar con dolo consumos de servicios de telefonía básica o de valor agregado de redes públicas a cargo de otro y en beneficio propio o eventualmente de un tercero.
Si bien las principales motivaciones en el ejercicio de estas actividades son evitar el pago de los servicios utilizados y, al mismo tiempo, generar ingresos ilícitos a partir de la venta de los mismos, pueden existir otros móviles fundados, por ejemplo, en la competencia desleal o en el intento de ejercer un daño en la marca de una compañía.
En este sentido, es importante tener en cuenta que las actividades de los hackers de centrales y servidores de telefonía, actúan básicamente bajo dos patrones de conducta:
  • “Ataque intempestivo”, que consiste en tomar todo lo que se pueda, durante el mayor tiempo posible. Esto ocurre habitualmente en los períodos de receso o a lo largo de los fines de semana, utilizando el medio para realizar llamadas a destinos “hot” de alto interés y valor de reventa.
  • "Penetración y abuso silencioso”, a partir del cual se trata de permanecer bajo los eventuales radares de reporte de los administradores del servicio de telefonía, drenando volúmenes de consumos que parecen menores pero que, consolidados a lo largo de amplios períodos, pueden ser devastadores para el presupuesto y las finanzas de la empresa afectada.
Una buena forma de racionalizar y entender el alcance de estas problemáticas es identificar posibles objetivos de ataque y potenciales actores, al mismo tiempo que detectar vulnerabilidad en las plataformas tecnológicas propias.
En una segunda instancia, es aconsejable pensar en términos de patrones de conducta, metodologías (ingeniería social, por ejemplo) y herramientas disponibles.
Ante este escenario revelador, tendremos una visión bastante acabada de los pasos a seguir para levantar y fortalecer las defensas ante este tipo de flagelo que atenta contra los esfuerzos que las compañías ponen en sus negocios.
En este sentido, los caminos a recorrer deberían ser, por un lado, analizar los activos que conforman las plataformas de servicios internos, los procesos de negocio y su relación con los servicios de telecomunicaciones, los alcances enunciados versus los realmente ejercidos por parte de los proveedores de servicios, la vigencia de políticas y conductas que aplican a los usuarios y los requerimientos del negocio para con las telecomunicaciones.
Por otro lado, en el caso de existir tercerizaciones o formar parte de una cadena de valor, es imprescindible analizar las relaciones comerciales (clientes y proveedores) y establecer criterios de control, identificando procesos y figuras de mérito a partir de las cuales se pueda articular compromisos del tipo SLA u OLA.
También es fundamental establecer y comunicar periódicamente la vigencia de políticas y controles internos que minimicen el accionar irregular de propios empleados, definir medidas preventivas ante el riesgo de un acceso indebido a los servicios brindados por la empresa, identificar caso a caso e, implementar las reglas que permitan desalentar el uso de la infraestructura para cometer fraude, monitoreando resultados por medio del uso de recursos o servicios de control de estas actividades y establecer y comunicar procedimientos para la gestión de casos ante la sospecha de fraude.
Todas estas acciones permitirán reducir el tiempo de detección de actos fraudulentos, corregir contundentemente las vulnerabilidades detectadas, reducir el período entre la detección y la toma de acciones y mitigar los riesgos generales de operación del servicio de telefonía corporativo.

No hay comentarios: