Los grupos criminales han estado enviando mensajes amenazantes en los últimos meses a compañías que administran servicios telefónicos de banda ancha en todo el mundo, prometiendo que inundarán las líneas telefónicas digitales con tráfico y las desconectarán a menos que los objetivos paguen un rescate.

Lo que esos extorsionistas han descubierto es que la cantidad de llamadas telefónicas que se realizan, al menos parcialmente, a través de Internet ha aumentado silenciosa y dramáticamente en los últimos años, y hay mucho en juego cuando los principales proveedores caen.

Al igual que los proveedores de telefonía fija, las empresas que administran llamadas telefónicas digitales, también conocidas como servicios de Voz sobre Protocolo de Internet (VoIP), deben transmitir audio en tiempo real, lo que facilita las llamadas personales, comerciales e incluso de emergencia.

Probablemente sea una parte más importante de nuestras vidas de lo que muchas personas creen. Es mucho más barato y, a menudo, más accesible y escalable, un elemento básico del trabajo desde casa durante la pandemia de coronavirus. Es posible que las pequeñas empresas y las personas que viven en el extranjero hayan estado utilizando líneas telefónicas puramente digitales durante años para comunicarse con clientes, amigos y familiares en el extranjero. Los grandes operadores y las empresas de telecomunicaciones a menudo utilizan VoIP para manejar llamadas o conexiones entre proveedores, mientras que los operadores más pequeños enrutan decenas de miles de llamadas simultáneas a través de Internet. Las empresas de centros de llamadas manejan más de 1 millón de llamadas digitales al día.

Pero si las empresas que administran líneas telefónicas digitales son atacadas por un tsunami de personas que llaman falsas, los mecanismos detrás de escena para transmitir voces en línea comienzan a desmoronarse con bastante rapidez.

«El desafío es que cuando pones todo el sistema telefónico en Internet, lo expone a todas las otras cosas que pueden salir mal en Internet», dice Matthew Prince, CEO y cofundador de Cloudflare, una empresa que proporciona protección contra los tipos de ataques que actualmente afectan a los proveedores de telefonía por Internet.

La industria de las telecomunicaciones digitales está luchando por prepararse contra los ataques

Prince y otros proveedores de seguridad que se centran en las comunicaciones digitales comenzaron a notar un aumento en los ataques a los servicios de VoIP este otoño. Los especialistas en foros para operadores de red comenzaron a publicar sobre los ataques, discutiendo qué hacer.

«En términos sencillos, la gente se está volviendo loca», dice Fred Posner, un especialista en seguridad de VoIP.

Si bien los propios proveedores se mantienen callados sobre estos ataques, emitiendo breves actualizaciones por correo electrónico y, a veces, publicaciones en las redes sociales para informar a sus clientes sobre interrupciones repetidas, los expertos en seguridad que trabajan con ellos están notando un cambio colectivo de mentalidad. Varios de los expertos entrevistados por NPR coincidieron en que la industria de las telecomunicaciones digitales no estaba preparada para este último ataque y se ha visto obligada a reconsiderar su estrategia defensiva a toda prisa. No son solo los grandes bancos o las grandes corporaciones en el punto de mira de los piratas informáticos criminales, son todos y todos los que pueden pagar y pagarán para que sus negocios vuelvan a estar en línea.

«Creo que el punto en el que estamos ahora es lo que vemos es que hay una especie de espectro enorme en términos de preparación: desde organizaciones que no conocen el problema y están preparadas, hasta organizaciones que conocen el problema. pero no pueden invertir o están dispuestos a invertir porque no creen que se relacione con ellos «, dice Jen Ellis, vicepresidenta de asuntos públicos y comunitarios de la empresa de ciberseguridad Rapid7 y que también formó parte del Grupo de trabajo de ransomware, un colaboración entre el sector público y el privado.

Estos extorsionistas en realidad no tienen que piratear a las víctimas para ser una amenaza.

Ese pánico colectivo comenzó cuando el proveedor de comunicaciones digitales Bandwidth.com se vio afectado por una campaña de extorsión digital a fines de septiembre, dice Posner. Los ataques anteriores se habían dirigido a proveedores más pequeños, pero Bandwidth se convirtió en la empresa más grande en sufrir un ataque DDoS o «denegación de servicio distribuida». Mientras que compañías como Bandwidth esperan una cierta cantidad de tráfico legítimo de los usuarios que intentan hacer llamadas y enviar mensajes de texto, un ataque DDoS involucra a malos actores que dirigen una cantidad gigantesca de solicitudes digitales ilegítimas a sus servidores, abrumando su capacidad de respuesta.

«Pasé mi carrera construyendo grandes trozos de infraestructura de Internet, y estoy aquí para decirles que Internet realmente es solo una serie de tubos y esos tubos tienen cierta capacidad», dice Prince de Cloudflare.

Los delincuentes implicados en estos recientes ataques de VoIP están motivados económicamente. Pero a diferencia de cuando empresas importantes como Colonial Pipeline fueron pirateadas y exigieron un rescate, estos atacantes en realidad no tienen que piratear sus objetivos para mantener sus servicios como rehenes. El simple hecho de convertir el tráfico digital en un arma es suficiente para, al menos, interrumpir temporalmente la capacidad de operación de una empresa.

Según Allan Liska, analista de inteligencia de la firma de inteligencia de amenazas Recorded Future, este método de combinar amenazas de rescate con ataques DDoS ha existido desde al menos 2019. En ese entonces, los extorsionistas a menudo no cumplían con sus amenazas a las víctimas de golpes. con tráfico ilegítimo, porque era difícil alcanzar el volumen de señales requerido. «En realidad, no estaban respaldados», dice. Pero en los últimos meses, algunos de estos delincuentes se han dado cuenta de que en realidad no se necesita tanto tráfico para interrumpir los protocolos especializados involucrados en la transmisión de audio en tiempo real.

Internet no fue diseñado inicialmente para ser un conducto para la comunicación de voz, texto y video en tiempo real, según los expertos en seguridad. Esto se debe a que, para tener una conversación fluida, cada bit de audio debe llegar exactamente en el momento adecuado o la conversación no tendrá sentido, mientras que el contenido de un sitio web puede cargarse en cualquier orden. Cuando habla al receptor para realizar una llamada digital, el audio se traduce en pequeños paquetes de información digital y luego se transforma de nuevo en el receptor.

Sandro Gauci, un experto en seguridad que ayuda a las empresas de comunicaciones a corregir fallas en sus sistemas, dice que una llamada digital requiere que se envíe aproximadamente un paquete de datos cada 20 milisegundos para que una llamada telefónica funcione correctamente.

«Tan pronto como tiene un poco de tiempo de inactividad, el sistema deja de funcionar correctamente … y dado que está destinado a ser en tiempo real, este es un gran problema», dice Gauci. «Nuestros clientes, si son proveedores de servicios, están realmente preocupados por la denegación de servicio porque les hace perder dinero cada segundo que su sistema no funciona».

Eso es exactamente lo que los atacantes han descubierto cómo hacer.

«Sigue aumentando», dice Liska. «Y sabes, una de las cosas de los ciberdelincuentes es que son imitadores. Si ves algo que funciona muy rápido, otros grupos lo copiarán».

Los ciberdelincuentes afirman ser parte de infames grupos de piratería informática como Fancy Bear

Con base en entrevistas con expertos que respondieron a estos ataques, así como en una nota de rescate proporcionada a NPR, los atacantes han afirmado falsamente que forman parte de grupos de piratería conocidos como Fancy Bear de Rusia, que las empresas de seguridad habían conectado con las actividades de interferencia electoral de 2016 en EE. UU. y REvil, un ahora infame grupo de ransomware criminal. Liska señala que esta es una táctica popular para convencer a las víctimas de que sus torturadores son legítimos y aumentar sus probabilidades de pagar.

«Están adoptando nombres de conocidos grupos de amenazas con la esperanza de inspirar más miedo», dice.

Si bien los proveedores no han compartido información sobre si han considerado pagar rescates a los atacantes, muchos han tenido al menos un éxito temporal para recuperarse de los ataques. Pero eso no significa que las interrupciones no hayan tenido un impacto real.

Chet Wisniewski, científico investigador principal de la firma de seguridad Sophos, se mudó a Vancouver, Canadá, hace años y decidió cambiar al uso de VoIP a tiempo completo para conectarse con amigos y familiares de una manera más asequible. Durante las últimas dos semanas, ha visto una pantalla de error en su teléfono, a veces durante horas.

«Como todos los demás, todos confiamos en nuestros teléfonos móviles», dice Wisniewski. «Y no puedo imaginar la interrupción, ya sabes, para una empresa que depende de este servicio si sus teléfonos no son confiables para sus equipos de ventas y soporte técnico y cosas así. Sería un verdadero desastre».

El peor impacto de una interrupción importante de las telecomunicaciones sería la imposibilidad de llamar a los servicios de emergencia. Los expertos en seguridad le dicen a NPR que al menos algunas de las interrupciones en los principales proveedores de banda ancha han tenido un impacto limitado en las llamadas al 911. El sector de las comunicaciones está incluido en la ciberagencia del Departamento de Seguridad Nacional, CISA, como parte de la infraestructura crítica porque cumple una «función habilitadora» para conectar empresas, individuos, servicios de emergencia y gobiernos, particularmente en una crisis.

«Dios, si hubiera una guerra cinética con un adversario (Rusia, Corea del Norte, Irán, lo que sea), mire lo frágil que es que algunos niños probablemente adolescentes con una botnet puedan contratar a los principales proveedores de comunicaciones y exigir rescates. ellos «, dice Wisniewski. «¿Y si fuera un adversario sofisticado y bien equipado como un estado-nación que pudiera borrar nuestra comunicación en minutos?»

En los últimos años, el FBI recibió la autoridad para interrumpir las redes de bots, que son esencialmente ejércitos zombis de dispositivos comprometidos que los atacantes utilizan para inundar a sus víctimas con tráfico. Es posible que ese tipo de autoridades sean útiles para perseguir a estos grupos criminales. Según se informa, AT&T anunció que ha «tomado medidas para mitigar» una botnet que apuntaba a miles de servidores VoIP dentro de su red, aunque no está claro si esa botnet fue diseñada para lanzar ataques de denegación de servicio o para otro propósito.

Sin embargo, encontrar a los extorsionistas es un verdadero desafío. La mayoría de los grupos criminales que exigen rescates a los proveedores de banda ancha quieren que se les pague en la moneda digital Bitcoin para ayudar a ocultar sus identidades.

Posner, el experto en VoIP, dice que ha estado pensando mucho durante el último mes sobre lo que se debe hacer para defender el sector de las comunicaciones.

«En primer lugar, es evidente que es necesario que exista alguna aplicación de la ley», dice. «Estos ataques claramente violan las leyes existentes, y hay pocos arrestos o repercusiones de estos ataques, si es que hay alguno. Por lo tanto, sería genial si pudiera haber algunos recursos dedicados para ayudar a proteger nuestra infraestructura».

Por otro lado, las empresas tendrán que elaborar un plan de respuesta. «Desde mi punto de vista, parece que se necesita más preparación», dice Gauci, el experto en seguridad.

«Es importante realizar más pruebas de seguridad», dice, «porque desea saber dónde se encuentra y si sus mecanismos de protección de seguridad funcionan realmente y si le están presentando nuevos problemas o no, y cómo puede recuperarse. «