¿Es lo suficientemente segura la telefonía IP?

IDG ha reúnido la opinión de dos expertos con visiones encontradas sobre la seguridad de la telefonía IP. Para Gartner, las amenazas a estos sistemas están siendo exageradas. Communications Network Architects considera, por el contrario, que toda precaución es poca.

En la voz sobre IP, al igual que en muchas nuevas tecnologías, la seguridad ha sido tratada como una característica ad hoc, no contemplada desde un principio en su diseño mismo. Durante su desarrollo, una de las preocupaciones fundamentales fue dotar a la nueva tecnología de capacidades para ofrecer niveles de calidad y continuidad de servicio similares a los de la telefonía convencional. Ahora, conseguido ya esto y desplegada en gran parte de las empresas, los titulares empiezan a hablar de las vulnerabilidades de la VoIP. Unas vulnerabilidades que pueden abrir la puerta de las organizaciones a “escuchas” indebidas, a nuevas formas de spam, e incluso a ataques de denegación de servicio capaces de echar abajo las redes de comunicaciones en las que las empresas más confían. Sin embargo, Lawrence Orans, director de investigación de Gartner, considera que estas amenazas están siendo exageradas y que no es probable que se produzcan en los entornos empresariales. Frank Dzubeck, presidente de la firma de servicios de consultoría e integración Communications Network Architects, cree, por el contrario, que, dado que la seguridad está ausente de la naturaleza misma de IP, todo puede ocurrir.

¿Hasta qué punto deben tomarse en serio actualmente las amenazas de seguridad que se ciernen sobre los sistemas de voz IP?
- Lawrence Orans (Gartner): Antes de nada, me gustaría aclarar el término de voz sobre IP, porque a menudo se utiliza como un concepto paraguas. Se aplica generalmente para hacer referencia a cualquier forma de voz paquetizada, ya se trate de telefonía Internet, como la de Skype, o de servicios de telefonía Internet proporcionados por los operadores. También se aplica como sinónimo de telefonía IP, que, sin embargo, tiene un enfoque mucho más empresarial. Es en este entorno corporativo donde existe un mayor peligro y donde los problemas son muy reales.
Tradicionalmente, la voz ha sido el servicio más fiable dentro de las comunicaciones empresariales. Ahora, con la VoIP, la voz se convierte sólo en otra aplicación más de las que corren por la red. Pero como soporte del servicio más fiable, tiene que ser la aplicación más fiable. Cualquier interrupción del servicio o brecha de seguridad se convierte, por tanto, sencillamente en un enorme problema. La ausencia hasta el momento de ataques de alto perfil ha creado una falsa sensación de seguridad en las empresas, pero la posibilidad de ataques existe de hecho.
No debemos olvidar que con la telefonía IP estamos colocando un segundo ordenador sobre nuestros escritorios; los handsets de telefonía IP tienen memoria, y también sistema operativo. Cierto es que se trata de un dispositivo robustecido, pero aún así puede ser objeto de ataques informáticos, como también el servidor PBX y los protocolos mismos. Muchos de los protocolos de señalizacion en la telefonía IP son todavía relativamente nuevos o propietarios. Y tanto las tecnologías nuevas como las propietarias no están sometidas a los mismos niveles de escrutinio para el descubrimiento de vulnerabilidades de seguridad que los protocolos más maduros.
En consecuencia, subrayaría, sobre todo, que las amenazas son muy reales, pero también que algunos potenciales peligros han sido sobredimensionados. Por tanto, lo más importante en este momento es que las empresas entiendan el asunto lo suficientemente bien para poder discernir entre las amenazas que han sido exageradas y las que no lo son.
Frank Dzubeck (Communications Network Architects): El problema no se encuentra en la VoIP misma, sino que es algo que hereda del propio protocolo IP, que nunca fue diseñado con la seguridad en mente. La voz IP, correcto, es una aplicación, y como aplicación dentro de la empresa va a ser una aplicación penetrante. Pero la cuestión es que tiene todas las vulnerabilidades de IP. Si no se afrontan todos los aspectos relacionados con su securización con la suficiente seriedad, sobre la empresa se cernirá la amenaza de un tremendo desastre. Los agujeros acabarán descubriéndose y siendo atacados.
Estoy en parte en desacuerdo con lo que previamente ha comentado Orans. No creo que deba distinguirse claramente entre la seguridad de la VoIP dentro de las LAN empresariales y la seguridad de la VoIP sobre Internet. La evolución hacia el espacio Internet no es una sutileza; es una pieza significativa del puzzle. Integrar la VoIP que corre sobre la LAN y la VoIP será una tendencia cada vez más frecuente, y si no acabamos ahora con los problemas de seguridad a todos los niveles, nunca lo haremos.

Se habla mucho sobre el fenómeno de las “escuchas” de llamadas de VoIP, pero ¿están realmente produciéndose este tipo de problemas en las redes corporativas?
- Lawrence Orans: En mi opinión, las escuchas son precisamente un claro ejemplo de amenaza que se ha exagerado. No cabe duda de que resulta técnicamente posible ejecutar un ataque “man-in-the-middle” y capturar paquetes, pero es muy discutible en el contexto de la telefonía IP, que es realmente un sistema basado en LAN. Para capturar paquetes sobre una LAN se requiere proximidad física, de manera que la forma más fácil de conseguirlo es si el atacante está ubicado en el edificio mismo. El escenario más paradigmático sería el de un empleado que en un despacho interviene las conversaciones de su CEO. Pero ese empleado podría hacer exactamente lo mismo con el correo electrónico, y la mayoría de las organizaciones no están demasiado preocupadas por los potenciales peligros de “fisgoneo” en e-mails. De hecho, la mayoría no encriptan sus mensajes de correo electrónico; entonces, ¿por qué encriptar la voz?
Frank Dzubeck: Estoy de acuerdo en que las escuchas han sido objeto de exageraciones, pero no dejan de representar una posibilidad que existe. Y creo que la encriptación es del tipo de medidas que hace a cualquiera sentirse mejor, más seguro. Por tanto, incluso aunque la amenaza haya sido sobredimensionada, encriptar es siempre recomendable. Deberíamos encriptar nuestra voz dentro de la LAN, y en mi opinión, a la larga, sería conveniente hacer exactamente lo mismo con cualquier tipo de datos o vídeo.

¿Y qué opinan acerca del spam sobre telefonía Internet (SPIT)? ¿Hasta qué punto representa una amenaza real?
- Lawrence Orans: Otro ejemplo de amenaza exagerada. Técnicamente, seguro que el SPIT es posible, pero la clave en este punto es el modelo de operación, no la tecnología, y el modelo de la transacción es muy diferente para el spam que para el SPIT. Con el spam, el usuario recibe un mensaje, y, a continuación, debe dar su consentimiento a algo, ya sea refinanciar su hipoteca o cualquier otra cosa; entonces, pincha en el vínculo Web que se le propone y de repente entra en el proceso. En otras palabras, el spam funciona. Con SPIT, la historia es completamente diferente. Si el usuario recibe un mensaje en su buzón de voz, ¿cómo completa la transacción?, ¿se supone que tiene que copiar la URL y trasladarla a su ordenador?, ¿quizá tiene que devolver la llamada a alguien? Son modelos totalmente diferentes.
Frank Dzubeck: Creo que se avecina

Contenido Patrocinado

Fernando Rubio Román, CTO de Microsoft España. TECNOLOGÍA
Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital