Política Antifraude

    Con el propósito de prevenir que los servicios que suministra IDT COLOMBIA S.A.S. y que están conectados a través de internet, sean objeto de ataques fraudulentos, es indispensable que el USUARIO implemente por su cuenta una serie de medidas de seguridad, con el objetivo de evitar posibles ataques de hackers, virus o cualquier otro acto de intervención de terceros. 

    Las centrales de telefonía sobre IP, son objeto de ataques de personas que utilizando puntos débiles, buscan acceder remotamente al sistema, con el objetivo de realizar, sin autorización, todo tipo de llamadas para beneficio propio, utilizando figuras como reventa de minutos, reoriginamiento y enrutamiento de trafico dentro y fuera de Colombia. Estos ataques generan altos consumos que luego son cobrados al Usuario.

    IDT COLOMBIA, quiere darle a conocer al USUARIO algunas recomendaciones y obligaciones que debe implementar para fortalecer su seguridad.

    1. Implementar y actualizar permanentemente las centrales de comunicación o servidores que almacenan la información con las versiones de seguridad recomendadas por el respectivo fabricante.

    2. Implementar y actualizar permanentemente las versiones de software que permitan blindar las centrales de comunicación o servidores de ataques externos, en donde las líneas conectadas a las plantas telefónicas de nuestros USUARIOS se pueden alcanzar por medio de la red de datos, para gestionar llamadas internas, entrantes y salientes.

    Dado que las centrales de comunicación que adquiere el USUARIO, se conectan a través de internet, es importante destacar que la conexión a internet, como los sistemas de seguridad que implemente el USUARIO, son absoluta y exclusiva responsabilidad de él. El USUARIO, debe garantizar la seguridad de sus instalaciones y acometidas internas, y estará obligado a responder por cualquier anomalía, fraude o adulteración que se encuentre en las acometidas, así como por las variaciones que sin autorización de IDT COLOMBIA se hagan en relación con el servicio contratado. 

    Teniendo en cuenta que la red está expuesta a situaciones de vulnerabilidad impredecibles y/o irresistibles en caso de prácticas fraudulentas, configuraciones, intervenciones efectuadas por el USUARIO, por terceros o de tipo técnico que se puedan presentar en las centrales de comunicación, IDT COLOMBIA no se hace responsable por las fallas de seguridad en dichas centrales ni tampoco por los  perjuicios ocasionados. 

    Para mantener la seguridad de la red el USUARIO, debe realizar al menos las siguientes tareas:

    Ancho de banda por terminal: 100k final con códec g711 por terminal o por llamada concurrente tanto entrante como saliente.
    El Usuario debe asegurar provisión segura de servicio de internet: sin latencia, pérdida de paquetes o jitter. 


    El Usuario debe asegurar un estándar en su red interna, entre otros tales como, cableado estructurado categoría 5 o superior. Es ideal, que el Usuario tenga  la posibilidad de generar Vlans para telefonía con el fin de diferenciar el tráfico de voz del tráfico de la red de trabajo.


    Apertura de puertos y direcciones de enlace a servidores Net2phone, es aconsejable dejar ip's desconocidas y puertos cerrados para evitar ataques de hackeo

    Use contraseñas seguras con una combinación de mayúsculas y minúsculas, números y símbolos. Implemente políticas de caducidad de contraseñas y configure políticas de notificación adecuadas para cuentas bloqueadas. El USUARIO, debe usar claves alfanuméricos y símbolos como $ o #. 

    Cambie las contraseñas predeterminadas.
    Evite contraseñas débiles.

    Si un proveedor le ha suministrado una contraseña, para la central de comunicaciones, debe proceder a su modificación.

    Solo permita el acceso a la central de comunicaciones, desde direcciones IP específicas. 

    Tener una política adecuada de acceso físico al servidor. Restrinja el acceso a los recursos de telefonía solo desde las redes internas.

    Deshabilitar por completo la función de Asterisk Manager Interface siempre que no sea utilizado. En caso de ser necesario solo habilitar un usuario permitiendo la IP de acceso y denegando todo el tráfico por default, cerrar y gestionar los puertos desde el firewall permitiendo paquetes solo de las IP conocidas y asignadas a los usuarios de AMI.

    Evitar utilizar puertos estándares.

    No utilizar el puerto por defecto para las conexiones SSH al servidor donde tiene instalada su planta. Esta configuración se realiza en /etc/ssh/sshd_config.

    Usar Firewall (cortafuegos) para filtrar solicitudes entrantes: para proteger el sistema operativo y el servidor de comunicaciones Asterisk, es necesario aceptar sólo las conexiones que sean necesarias y rechazar las demás.

    Instalar programas de detección de intrusos. Por ejemplo fail2ban y portsentry para evitar escaneos y ataques de DoS (denegación de servicio) Seguridad de autenticación:

    No aceptar usuarios no autenticados: esto se hace estableciendo “allowguest=no” en la parte [general] de sip.conf.

    Verificar los archivos de logs (bitácoras) del sistema, ubicados generalmente en /var/log/secure y /var/log/messages.

    Activar solo el plan de llamadas necesario.
    Estar al día con las actualizaciones, vulnerabilidades y soluciones. Actualizar las distribuciones a la versión más reciente y estable.

    Llevar un control exhaustivo del sistema.
    Asegurar que los buzones no activados tengan una vigencia y sean desactivados después de cumplirla.

    Los componentes críticos de hardware deben ser bloqueados con dispositivos anti- manipulación

    Utilizar un procedimiento para conocer las funciones específicas del personal que sale de la empresa a fin de dar de baja claves y accesos cuando esto ocurra. Cambie las contraseñas de administrador cuando los administradores cambien.

    Uso de honeypots: En la terminología informática, un honeypot es una trampa para contrarrestar los intentos de uso no autorizado de los sistemas de información. Un honeypot IP -PBX puede ser establecida por un operador para atraer a los atacantes al aparecer para ofrecer un blanco legítimo y atractivo, cuando en realidad el IP -PBX honeypot es realmente aislado y controlado , y registrará la fuente de direcciones IP de los atacantes para su posterior bloqueo proactivo. El bloqueo de rangos de direcciones IP también se puede considerar, para prohibir las conexiones de los proveedores de servicios de Internet que son conocidos por albergar comunidades de hackers.