La empresa

BarakCom Co., una compañía top tier de telecomunicaciones, fue incorporada en 2005 para proveer servicios que van desde telefonía, datos, comunicación de voz y contenido móvil. La compañía cuenta con una plantilla de 1,115 empleados en sus diferentes oficinas, con una expectativa de buenas ganancias en un país donde casi todo el mundo quería, y sigue queriendo, mantenerse en contacto.

.

La industria de las telecomunicaciones en Nigeria

La economía nigeriana ha experimentado un crecimiento espectacular en los últimos dos años. Aparte del petróleo, las telecomunicaciones se consideran su motor principal. Desde la desregulación de la industria, el número de líneas telefónicas ha pasado de 400 mil a más de 80 millones de usuarios.

Además de aumentar la teledensidad en el país, la industria de las telecomunicaciones ha creado empleos, estimulando el crecimiento. Nigeria ha sido reconocida como el mayor mercado de telecomunicaciones de África, con la mayor base de suscriptores, convirtiendo así a África en el mercado móvil de más rápido crecimiento del mundo.

Muy recientemente, el gobierno nigeriano, como parte de los esfuerzos para mejorar la seguridad de la gente y sus bienes, ordenó a los operadores de telecomunicaciones registrar las tarjetas SIM de sus suscriptores.

.

El negocio

El negocio de las telecomunicaciones se ha expandido a pasos agigantados, con las llamadas de voz de prepago ocupando el primer lugar en la generación de ingresos. Según los expertos, el número de líneas conectadas en Nigeria se sitúa actualmente en 110 millones, con 80 millones de suscriptores activos y una teledensidad de 53 por ciento.

.

Llamadas de voz prepagadas

El paquete de voz prepagado es un plan de llamadas que permite a los clientes tener cierta cantidad de minutos que pueden usarse para llamar a destinos locales y a ciertos destinos internacionales seleccionados. En el paquete de llamadas de voz prepago, el llamador compra tiempo mediante una tarjeta prepagada, que permite el acceso a llamadas de voz hasta el monto que garantice su tarjeta.

Varias ofertas de servicios se clasifican de acuerdo con los beneficios adjuntos, por ejemplo, las llamadas entre el personal de una misma empresa pueden tener un costo muy bajo o incluso ser gratuitas, mientras que las llamadas dentro del mismo proveedor o realizadas en ciertos horarios estipulados cuestan un poco menos que las llamadas regulares, dependiendo del plan de beneficios y tarifas elegidas. Las llamadas entre el proveedor seleccionado y otros carriers se facturan a una tasa más alta.

.

El asunto en cuestión

Tres años después de que la compañía comenzó a operar, Musa Okoro, CRO de la empresa, se sentó en su escritorio con una mirada pensativa mientras revisaba de nuevo el correo del director financiero sobre las enormes pérdidas registradas por el servicio de voz prepago, que en parte señalaba «… es aterrador que una unidad de negocio estratégico como las llamadas de voz prepagadas esté teniendo pérdidas tan grandes después de casi tres años de obtener ganancias, ¿qué cambió?”

¡Nada ha cambiado! -gritó Musa en voz alta, como si fuera a una audiencia, echó la cabeza hacia atrás en la silla, inclinándose hacia un lado y volviendo a pensar en la inquietante conversación que había tenido un día antes con el jefe de facturación, mediante la cual se enteró de que se había utilizado un tiempo de antena con un costo de 1.18 millones de dólares durante un periodo de tres meses, sin que se registraran ingresos proporcionales. Confesó haber comprobado todos los procedimientos con las unidades correspondientes, señalando que todas las autorizaciones pertinentes estaban en vigor y fue entonces cuando decidió revisar el asunto de manera informal con el CRO antes de emitir una alerta formal. Musa decidió llamar a su equipo de expertos para una reunión y poner en marcha la maquinaria para investigar de inmediato el problema.

Hizo una llamada solicitando una auditoría completa del periodo relevante y un informe detallado, mientras él iba a trabajar con su equipo para determinar cualquier incumplimiento o brecha en la seguridad. Pero todo esto no produjo ningún hallazgo, todo parecía estar en su lugar. Cuando el informe de la auditoría llegó, fue examinado repetidamente buscando discrepancias en cualquier faceta de la operación y analizando cuidadosamente los ciclos de transacción de todos los departamentos interrelacionados, sin embargo, todo parecía estar bien.

«Esto no me gusta» pensó Musa. Por su experiencia de años en la gestión del riesgo operacional y la investigación de fraude, sabía que estaba en contra de un elemento humano muy inteligente porque 1.18 millones de dólares no se evaporan en el aire sin dejar rastro. Entonces decidió poner una red de vigilancia silenciosa, cuidando cada transacción. Él sabía que con el tiempo “alguien” sería engreído y cometería errores. Sus predicciones fueron recompensadas tres semanas más tarde, cuando uno de los miembros más jóvenes del equipo de vigilancia solicitó una audiencia con él.

Tunde, un joven prometedor con mucho entusiasmo, ideas y energía, le contó una increíble historia de un centro de negocios que visitó el fin de semana, en una parte muy concurrida de la isla no muy lejos de la oficina, donde se ofrecían llamadas a casi la mitad de precio en dos redes muy populares, ABTel y Barakcom. El lugar parecía una colmena, con numerosos clientes solicitando llamadas locales y, principalmente, internacionales. Se quedó casi congelado al ver que prácticamente todos los clientes hacían sus llamadas en estas dos redes. Le preguntó a uno de los asistentes por qué preferían dichas redes y le respondieron que eran las más baratas pues la encargada daba precios especiales.

Tunde supo de inmediato que estaba ante algo que se relacionaba con los problemas que estaban teniendo en la oficina. Así que pidió ver a la señora, que sorprendentemente era una joven soltera, probablemente de veinte o treinta y tantos años. Inmediatamente pensó un plan sobre el terreno para llegar a la raíz del asunto: entabló una relación amistosa con ella elogiando el alcance de su operación y su perspicacia en los negocios. Huelga decir que se convirtió en un cliente preferido, frecuentando el centro de negocios cada vez que podía, incluso durante sus días de descanso. Después de un tiempo, le contó sobre las frustraciones en su trabajo y su deseo de conseguir algo más para reemplazar su salario. Ella respondió que no había problema pues lo conectaría con un amigo suyo, que era responsable de su próspero negocio, e incluso le dijo a Tunde que podría iniciar su propio centro de llamadas vía ABTel y Barakcom por casi nada, excepto por algunos pagos estipulados que tendría que hacer para retener el uso de las líneas. Programaron una reunión con el contacto para el siguiente martes y Tunde decidió actualizar a su jefe, Musa, el lunes por la mañana para obtener una autorización sobre las siguientes acciones.

Musa estaba exaltado, las cosas empezaban a aclararse por fin. «Reúnase con el contacto, memorice sus rasgos, obtenga toda la información que pueda, un número de teléfono si es posible, y vuelva conmigo», le dijo Musa. Tunde fue a su cita; le presentaron al hombre detrás de las operaciones, Oti Adamu. Se sorprendió de que Oti no era como esperaba, estaba frente a un joven de unos treinta años de edad, de voz suave, delgado, y obviamente muy inteligente. Se presentó como Oti Adamu, director de Network Connection & Distribution en Barakcom.

«¡Qué!» gritó Tunde para sí mismo, «este es el hombre que estamos buscando, pero, ¿cómo obtuvo acceso autorizado a Barakcom?” Tunde no lo conocía y sabía que el Departamento de Network Connection & Distribution no existía. Entonces se le ocurrió una idea y pidió la tarjeta de identificación de Barakcom de Oti para confirmar su identidad “antes de darle sus ahorros tan arduamente logrados” y Oti cumplió: tenía una identificación de Barakcom en el bolsillo de su camisa; Tunde notó su designación como miembro del Departamento de Servicio a Clientes. En ese momento Tunde dio por terminada la reunión con la excusa de que necesitaba volver a la oficina inmediatamente, y prometió seguir con el acuerdo más adelante.

La Dirección de Gestión de Riesgos tenía a su hombre y rápidamente se puso a trabajar. El Departamento de Recursos Humanos fue contactado de inmediato para confirmar la identidad. Resultó que el servicio de atención a clientes había sido subcontratado y Oti era parte del personal reclutado en ese periodo; lamentablemente no se realizó una verificación detallada de antecedentes, y fue contratado como alguien experimentado y proveniente de ABTel. Investigaciones subsecuentes revelaron que era un hacker experimentado, entrenado como ingeniero de redes y que había trabajado en un equipo de telecomunicaciones más pequeño donde comenzó a realizar actividades de cibercrimen, cambiando su perfil y escalando privilegios para obtener acceso a gateways seguros. Ganaba $0.003 USD por cada uno de los millones de suscriptores afectados, un arte que perfeccionó mientras trabajaba en ABTel como ingeniero de redes.

Mientras trabajaba en ABTel, Oti estableció muchos «centros de negocio» que cargaban costos mínimos por usar líneas que no costaban nada, ganando cientos de miles de dólares para él y sus amigos. Cuando ABTel notó las pérdidas se inició una investigación, por lo que Oti renunció y tomó un descanso de la industria de telecomunicaciones mientras que daba clases en uno de los institutos privados que ofrecían certificaciones de TI. Tiempo después regresó a la industria como personal del servicio de atención a clientes en respuesta a un anuncio de vacantes en Barakcom. Para entonces se había vuelto tan experimentado que para seguir realizando sus actividades ilegales no importaba qué tan bajo estuviera en el organigrama de la empresa, lo único que necesitaba era acceso a una computadora dentro de la red de la empresa.

Después de toda la saga, Musa miró a su equipo y preguntó, «¿qué creen que salió mal?» (a continuación algunas de las cuestiones a revisar):

.

Políticas a revisar Objetivos de control involucrados
Antes de la contratación (Recursos Humanos) Objetivo: asegurar que los empleados y subcontratistas entienden sus responsabilidades y que son adecuados para los roles en los que se desempeñan.

 

Recursos Humanos debió revisar los antecedentes de los candidatos a cubrir tanto posiciones internas como tercerizadas. La revisión de antecedentes debió hacerse en concordancia con las leyes y regulaciones relevantes, de manera ética, de acuerdo a los requerimientos del negocio, la clasificación de la información a la que tendrán acceso los empleados y los riesgos percibidos. Lo anterior hubiera reducido el riesgo de tener hackers al interior de la empresa.

Requerimientos empresariales de control de acceso Objetivo: limitar el acceso a la información y a las instalaciones de procesamiento de información. Se deben tener procesos y procedimientos más estrictos para restringir el acceso a archivos y carpetas sensitivas en la red de la organización.

 

La política de control de acceso no se aplicó o se implementó mediante la tecnología.

 

Se debió definir, documentar y revisar la política de control de acceso de acuerdo a los requerimientos del negocio y de seguridad de la información.

Administración de acceso de usuarios Objetivo: asegurar el acceso únicamente a los usuarios autorizados, y prevenir el acceso no autorizado a sistemas y servicios.

 

No hubo asignación y control de los derechos de acceso.

 

No se mantuvo la secrecía de la información de autenticación y no hubo un proceso formal de gestión para efectuar su control dentro de la red de la empresa.

 

Los propietarios de activos deberían haber revisado los derechos de acceso de los usuarios a intervalos regulares, para detectar y prevenir el acceso no autorizado a sistemas y aplicaciones.

 

Gestión de incidentes de seguridad de la información y mejoras en la gestión

Objetivo: asegurar un enfoque coherente y efectivo de la gestión de incidentes de seguridad de la información, incluida la comunicación sobre los eventos de seguridad y las debilidades.

 

Se pudo observar que el equipo de administración de riesgos carecía de la capacidad de respuesta para abordar los incidentes de seguridad de la información, ya que no tenían procedimientos documentados.

 

La respuesta a los incidentes de seguridad de la información debería ser de conformidad con los procedimientos documentados.

 

Es importante que el conocimiento obtenido del análisis y resolución de incidentes de seguridad de la información se haya utilizado para reducir la probabilidad o el impacto de futuros incidentes.

 

La organización debe definir, implantar y aplicar procedimientos para la identificación, recolección, adquisición y preservación de la información, los cuales pueden servir como evidencia.

Controles criptográficos Objetivo: asegurar un uso adecuado y efectivo de la criptografía para proteger la confidencialidad, autenticidad e integridad de la información.

 

No se desarrolló ni implementó una política sobre el uso de controles criptográficos para la protección de la información. El empleo de una autenticación de dos factores habría impedido el acceso a los archivos confidenciales.

Administración de la seguridad de la red Objetivo: asegurar la protección de la información en las redes e instalaciones relacionadas.

 

La cuestión más visible que surgió fue la falta de segregación de la red. La aplicación de grupos de servicios de información, usuarios y sistemas de información debería haber sido segregada en redes y clasificada para la gestión adecuada de la red.

 

. 

[email protected]