| Artículos | 09 MAR 2007

Amenazas a la VoIP: exageraciones y realidades

Tags: Actualidad
CIO
En la voz sobre IP, al igual que en muchas nuevas tecnologías, la seguridad ha sido tratada como una característica ad hoc, no contemplada desde un principio en su diseño mismo. Durante su desarrollo, una de las preocupaciones fundamentales fue dotar a la nueva tecnología de capacidades para ofrecer niveles de calidad y continuidad de servicio similares a los de la telefonía convencional. Ahora, conseguido ya esto y desplegada en gran parte de las empresas, los titulares empiezan a hablar sobre las vulnerabilidades de la VoIP. Unas vulnerabilidades que pueden abrir la puerta de las organizaciones a ?escuchas? indebidas, a nuevas formas de spam, e incluso a ataques de denegación de servicio capaces de echar abajo las redes de comunicaciones en las que las empresas más confían.

Lawrence Orans, director de investigación de Gartner, considera que estas amenazas están siendo exageradas y que no es probable que se produzcan en los entornos empresariales. Frank Dzubeck, presidente de la empresa de servicios de consultoría, diseño e integración de TI Communications Network Architects, por el contrario, cree que, dado que la seguridad está ausente de la naturaleza misma de IP, todo puede ocurrir.

¿Hasta qué punto deben tomarse en serio actualmente las amenazas de seguridad que se ciernen sobre los sistemas de voz sobre IP?
Lawrence Orans (Gartner): Antes de nada, me gustaría aclarar el término de voz sobre IP, porque a menudo se utiliza como un concepto paraguas. Se aplica generalmente para hacer referencia a cualquier forma de voz paquetizada, ya se trate de telefonía Internet, como la de Skype, o de servicios de telefonía Internet proporcionados por los operadores. También se aplica como sinónimo de telefonía IP, que, sin embargo, tiene un enfoque mucho más empresarial. Es en este entorno corporativo donde existe un mayor peligro y donde los problemas son muy reales.

Tradicionalmente, la voz ha sido el servicio más fiable dentro de las comunicaciones empresariales. Ahora, con la VoIP, la voz se convierte sólo otra aplicación que corre por la red. Pero como soporte del servicio más fiable, tiene que ser la aplicación más fiable. Cualquier interrupción del servicio o brecha de seguridad se convierte, por tanto, sencillamente en un enorme problema. La ausencia hasta el momento de ataques de alto perfil ha creado una falsa sensación de seguridad en las empresas, pero la posibilidad de ataques existe de hecho, y esa sensación de confianza sólo actuará como aliado de los atacantes.

No debemos olvidar que con la telefonía IP estamos colocando un segundo ordenador sobre nuestros escritorios; los handsets de telefonía IP tienen memoria, y también sistema operativo. Cierto es que se trata de un dispositivo robustecido, pero aún así puede ser objeto de ataques informáticos, como también el servidor PBX y los protocolos mismos. Muchos de los protocolos de señalizacion en la telefonía IP son todavía relativamente nuevos o propietarios. Y tanto las tecnologías nuevas como las propietarias no están sometidas a los mismos niveles de escrutinio para el descubrimiento de vulnerabilidades de seguridad que los protocolos más maduros.

En consecuencia, subrayaría, sobre todo, que las amenazas son muy reales, pero también que algunos potenciales peligros han sido sobredimensionados. Por tanto, lo más importante en este momento es que las empresas entiendan el asunto lo suficientemente bien para poder discernir entre las amenazas que han sido exageradas y las que no lo son.

Frank Dzubeck (Communications Network Architects): El problema no se encuentra en la voz sobre IP misma, sino que es algo que hereda del propio protocolo IP. El protocolo de Internet nunca fue diseñado con la seguridad en mente. La voz sobre IP, correcto, es una aplicación, y como aplicación dentro de la empresa va a ser una aplicación penetrante. Pero la cuestión es... que tiene todas las vulnerabilidades de IP. Si no se afrontan todos los aspectos relacionados con su securización con la suficiente seriedad, sobre la empresa se cernirá la amenaza de un tremendo desastre. Los agujeros acabarán descubriéndose y siendo atacados.

Estoy algo en desacuerdo con lo que previamente ha comentado Orans. No creo que deba distinguirse claramente entre la seguridad de la VoIP dentro de las LAN empresariales y la seguridad de la VoIP sobre Internet. La evolución hacia el espacio Internet no es una sutileza; es una pieza significativa del puzzle. Integrar la voz sobre IP que corre sobre la LAN y la voz sobre IP sobre Internet será una tendencia cada vez más frecuente...y si no se acabamos ahora con los problemas de seguridad a todos los niveles, nunca lo haremos.

Se habla mucho sobre el fenómeno de las ?escuchas? de llamadas de VoIP, pero ¿están realmente produciéndose este tipo de problemas en las redes corporativas?
Lawrence Orans: En mi opinión, las escuchas son precisamente un claro ejemplo de amenaza que se ha exagerado. No cabe duda de que resulta técnicamente posible ejecutar un ataque ?man-in-the-middle? y capturar paquetes, pero es muy discutible en el contexto de la telefonía IP, que es realmente un sistema basado en LAN. Para capturar paquetes sobre una LAN se requiere proximidad física, de manera que la forma más fácil de conseguirlo es hacerlo si el atacante está ubicado en el edificio mismo. El escenario más paradigmático sería el de un empleado que en un despacho interviene las conversaciones de su CEO. Pero ese empleado podría hacer exactamente lo mismo con el correo electrónico, y la mayoría de las organizaciones no están demasiado preocupadas por los potenciales peligros de ?fisgoneo? en e-mails. De hecho, la mayoría no encriptan sus mensajes de correo electrónico; entonces, ¿por qué encriptar la voz?

La razón por la que hemos oído hablar tanto sobre las escuchas es porque constituyen un comportamiento ilícito que provoca una reacción visceral. Pero lo importante es centrarse en amenazas de mayor envergadura y trascendencia para los sistemas corporativos, como, por ejemplo, la posibilidad de ataques al servidor IP PBX mismo.

Frank Dzubeck: Estoy de acuerdo en que las escuchas han sido objeto de exageraciones, pero no dejan de representar una posibilidad que existe. Pero creo que la encriptación es del tipo de medidas que hace a cualquiera sentirse mejor, más seguro. Por tanto, incluso aunque la amenaza haya sido sobredimensionada, el hecho de encriptar es siempre recomendable. Deberíamos encriptar nuestra voz dentro de la LAN, y en mi opinión sería conveniente hacer exactamente lo mismo cualquier tipo de datos o vídeo a la larga.

¿Y qué opinan acerca del spam sobre telefonía Internet (SPIT)?, ¿hasta qué punto representa una amenaza real?
Lawrence Orans: Otro ejemplo de amenaza exagerada. Técnicamente, seguro que el SPIT es posible, pero la clave en este punto es el modelo de operación, no la tecnología, y el modelo de la transacción es muy diferente para el spam que para el SPIT. Con el spam, el usuario recibe un mensaje, y, a continuación debe dar su consentimiento a algo, ya sea refinanciar su hipoteca o cualquier otra cosa; entonces, pincha en el vínculo Web que se le propone y de repente entra en el proceso. En otras palabras, el spam funciona. Con SPIT, la historia es completamente diferente. Si el usuario recibe un mensaje en su buzón de voz, ¿cómo completa la transacción?, ¿se supone que tiene que copiar la URL y trasladarla a su ordenador?, ¿quizá tiene que devolver la llamada a alguien?... Son modelos totalmente diferentes.

Por otr

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información