Voz por IP se ha convertido en la opción de menor costo a la hora de seleccionar un medio de comunicación para nuestra Compañía. Cuando implementamos medidas de seguridad debemos proteger la información en todas sus formas: Lo digital, lo impreso y la auditivo. Por lo tanto, alguna vez nos preguntamos: ¿Cuán confiable es realmente esta tecnología?

¿Qué es VoIP?  Voz sobre IP son todas las comunicaciones transmitidas a través de Internet o una red. Para hacer una llamada VoIP utiliza dos protocolos, uno para realizar el enlace con otra estación (H323 o SIP) y otro para transmitir lo que se habla (RTP), similar al GSM de la telefonía celular. Los beneficios que ofrece se basan en el bajo costo y la facilidad de instalación. Pero no todo lo que brilla es oro: hasta ahora sólo hemos enumerado sus ventajas…

¿Cómo se vulnera VoIP? Aprovechando las debilidades existentes en los dos protocolos: el de enlace (signaling) y el de transmisión (media stream).

En los ataques de enlace, el hacker busca interferir las Comunicaciones para "rutearlas" por otro canal o para secuestrar la comunicación, haciéndose pasar por otra persona (el protocolo SIP no soporta integridad porque transporta mensajes en texto claro). El atacante puede interceptar y modificar los mensajes de este protocolo en la red interna o simplemente observar el tráfico.

Los ataques de transmisión pueden ser aún más simples de implementar. El protocolo RTP (Real Time Protocol) es un UDP que intercambia datos de voz entre dos direcciones IP. El paquete transmitido está codificado con un codec específico y no se encuentra encriptado; por consiguiente, un atacante sólo debe grabar la transmisión y decodificarla con el codec adecuado.

Actualmente, en varios países se utiliza VoIP para servicios del Gobierno, como por ser en Inglaterra el servicio de emergencias 999. También lo emplean entidades estatales y parlamentarias. Imagínense lo que podría provocar la escucha o la intercepción de esas comunicaciones.

Los HotSpots que son de acceso libre y público ofrecen este servicio sin implementarle medidas de seguridad, convirtiéndose de este modo en el lugar más "caliente" para que estos ataque se realicen. Un usuario descuidado intentaría consultar el resumen de su Cuenta Bancaria, enviaría el PIN de acceso telefónico y cualquier persona que esté grabando la conversación como lo explicábamos antes tendría acceso garantizado a la cuenta de la víctima. Otros ataques ya consolidados son VoIP phishing (vishing) y la denegación de servicio.

Según Sans Institute en su informe anual de riesgos de seguridad ubica a los ataques sobre VoIP en el quinto lugar.

Para tranquilidad de todos, esta tecnología emergente posee medidas de seguridad que se pueden aplicar. Existe un paper de "mejores prácticas" que nos pueden a ayudar a mitigar el riesgo en el portal de la organización VoIPsa.

Como decíamos al principio, la seguridad de la información abarca también a las conversaciones telefónicas y a los dispositivos de comunicación. Por esta razón, al momento de elegir VoIP consideremos la seguridad necesaria, y que su bajo costo y su facilidad de implementación no se conviertan en un dolor de cabeza.

Nota del editor:

Más información para usarios domésticos sobre seguridad en línea:
– Seguridad para menores de edad y la familia  
– La BSA invita a los usuarios de tecnología a aplicarla para protegerse a sí mismas  
– Consejos de Seguridad en Transacciones Electrónicas   
– Redes inalámbricas para el hogar  
– Usuarios deben tomar medidas para protegerse del phishing  
– Prevención de ataques: Phishing  
– Internet puede ser un lugar muy seguro  

Fuente: Christian Javier Vila Toscano – I-SEC Information Security