Lo que necesitas saber para proteger la telefonía IP

Recomendados:  Cloud: en busca de la agilidad Encuesta Claves para una estrategia multicloud de éxito Webinar La hoja de ruta de DevOps en materia de seguridad Leer

Parece que se intenta orquestar, desde Estados Unidos y por algunos medios de comunicación, que los teléfono IP representan un grave riesgo para la seguridad empresarial. Se asegura que no sólo se utilizan como espías, sino que también son presa fácil para los ciberdelincuentes. Luca Livraga, jefe de equipo de soporte técnico internacional de Snom, explica que los mecanismos de seguridad incorporados en los teléfonos IP difieren mucho entre las distintas marcas, y no depende solo de la implementación técnica, por lo que “en términos de seguridad no se pueden meter en el mismo saco todos los teléfonos IP“.

Resulta curioso además que se apunte a un fabricante europeo, donde las directrices de protección de datos son las más estrictas del mundo. Los fabricantes y gobiernos europeos mantienen una postura intransigente: no se permite espiar ni siquiera un teléfono o acceder a los datos de uso sin una orden judicial previa o la aprobación de varios comités. Esto también se aplica a los gobiernos. Snom, además, añade un obstáculo adicional, ya que el servidor SRAPS de la compañía se encuentra en Alemania, un estado que actualmente cuenta con las leyes de protección de datos más estrictas.

"Por ejemplo, lo único que definitivamente transmiten los teléfonos Snom son los datos acordados globalmente para rastrear una llamada recibida por el servicio público de llamadas de emergencia, como cuando una persona que busca ayuda no puede comunicar su ubicación. Aquí, la dirección IP del teléfono solo se puede rastrear hasta su ubicación (la dirección, si es necesario el piso) mediante protocolos estandarizados para la prestación de servicios de emergencia por parte de organismos legítimos", explica Livraga.

Por lo tanto, la idea de transmitir datos de conversación o incluso conversaciones completas a terceros ni siquiera se considera. Incluso el acceso (en remoto) a los teléfonos por parte de un servicio de atención al cliente de confianza o distribuidores especializados con fines de mantenimiento está sujeto a la protección de datos. El distribuidor está legalmente obligado a hacer que cualquier información personal del usuario sea anónima. Snom incluso se asegura de que se eliminen todos los datos personales de los teléfonos enviados para reparaciones, a fin de evitar cualquier posible uso indebido.

Además, el seguimiento de los datos de conexión de una o varias llamadas con el fin de solucionar problemas a través del firmware de los teléfonos solo se realiza con la aprobación de la otra parte, y los datos técnicos registrados no tienen ningún valor para nadie, excepto para el empleado de soporte. Las interfaces para almacenar datos de uso en el PC del usuario o para la transmisión completa a terceros no están disponibles en los teléfonos Snom.

Además del nivel mínimo de seguridad legalmente prescrito, hay fabricantes que instalan varios mecanismos de seguridad en los teléfonos. Livraga utiliza dos ejemplos para explicar lo que es importante cuando se trata de proteger el curso de la conversación e intercambiar información entre el teléfono y la centralita.

Certificados e identificación del teléfono. Los parámetros se transfieren de la centralita al teléfono a través de https y requiere el intercambio de certificados y la mutua autenticación por defecto. Cada dispositivo Snom dispone de un certificado único asociado a la dirección MAC. La centralita comprueba la exactitud y validez del certificado antes de aprobar la conexión. "Esto podría compararse con un procedimiento de identificación presentando el DNI personal del teléfono", explica Livraga. Entonces, el teléfono Snom también comprueba el certificado del servidor para asegurarse de que está conectado al PABX correcto.

Este procedimiento, denominado autenticación silenciosa, evita los ciberataques más comunes. Otros mecanismos también impiden que el certificado sea reconocido como válido, incluso si se manipula la dirección MAC. Así que todo lo que queda es el robo del teléfono como una solución alternativa. Sin embargo, "este camino es muy laborioso, y ahí es exactamente dónde radica el concepto de seguridad informática: complicar el proceso de tal manera que sea desfavorable. Sin embargo, Snom ha previsto para esta eventualidad que el teléfono pierda todos los datos en cuanto se desconecte de la alimentación, por lo que este intento también es inútil", añade Livraga.

Puerto RTP aleatorio y flujo de datos encriptado. Este es el primer nivel de seguridad. Otra medida de seguridad contra la grabación de llamadas telefónicas es la aleatorización de los puertos de entrada y salida para el flujo de datos RTP (o sea para la llamada telefónica) y su cifrado (SRTP). La centralita y el teléfono se comunican entre sí a través de certificados, pero el teléfono decide de forma independiente qué puerto utilizar para cada llamada. Esto se lleva a cabo automáticamente y obliga a los posibles atacantes a realizar una serie de análisis para identificar el puerto utilizado. Aquí es donde entran en juego los firewalls de red: a través de los escaneos anormales, los cortafuegos detectan rápidamente que se está produciendo un intento de ataque.

"Siempre que se adhiera a nuestras pautas para el uso de https y contraseñas seguras, así como la implementación de todas las actualizaciones, estará a salvo. Pero en este contexto, también es importante seleccionar un sistema telefónico que tenga las mismas prioridades", confirma Livraga. "De lo contrario, es como cerrar el coche, ¡Pero dejando el capó abierto! Por eso es importante dirigirse a profesionales certificados".