¿Cuáles son los riesgos de seguridad en la telefonía IP y cómo prevenirlos?

La telefonía IP se ha ido generalizando a lo largo de los últimos años y está ya presente en la mayoría de las empresas. Esto es así en gran medida, gracias a la aparición de los operadores de telefonía en la nube que aprovechamos esta tecnología porque ofrece muchas ventajas: mayor escalabilidad y flexibilidad, más funcionalidades, reducción de costes, simplificación de la infraestructura, movilidad de usuarios, etc.

No obstante, el hecho de que esta tecnología use la red internet como soporte de sus comunicaciones, entraña ciertos riesgos de seguridad que debemos tener en cuenta para prevenirlos y minimizarlos. Para ello, no hace falta que seas un experto en seguridad informática, pero sí que necesitas tener un conocimiento mínimo de las ataques más populares, como evitarlos y de las buenas prácticas en tu empresa para controlarlos.

¿Qué es un riesgo de seguridad VoIP?

Un riesgo de la seguridad VoIP consiste en la probabilidad de que tu sistema telefónico sea objeto de un ciberataque. Este ataque puede tener diferentes propósitos: obtener un beneficio económico directo, el bloqueo del sistema para a posteriori pedir un 'rescate', o la suplantación de identidad, que os puede ocasionar una multa cuantiosa por uso indebido de llamadas.

Existen diferentes mecanismos para intentar reducir al máximo el impacto de este tipo de ataques como son: la implantación de barreras de control, establecer restricciones de llamadas telefónicas en tu PBX y la gestión segura de accesos a los dispositivos. Sería recomendable revisar el plan de gestión de riesgos de la empresa para poder identificar dónde existe o puede existir alguna vulnerabilidad.

Aunque no lo parezca. los ataques a sistemas telefónicos son muy comunes y provocan cuantiosos costes anuales a las empresas. Para prevenir este tipo de daños, te ayudamos en este post a identificar las principales prácticas utilizadas y las mejores medidas que puedes implementar en tu empresa.

Principales tipos de ataque VoIP

Phreaking o "Llamadas a cuenta"

Es una de las prácticas más extendidas. Consiste en conectarse a tu sistema telefónico (centralita o PBX), para realizar llamadas a destinos 'caros' a cuenta de tu empresa. Es decir, los piratas que utilizan este método están usando tu sistema telefónico como puente para acceder a destinos donde las llamadas son muy caras (p.e. Samoa, Cuba, Chad, Islas virgenes, etc.)

Los hackers normalmente se conectan a tu sistema por la noche y/o en fines de semana, momento en el que es más difícil detectarlos. El resultado de esta práctica suele ser un incremento exponencial de la factura telefónica para el propietario de la centralita.

Existe otra modalidad de phreaking más sofisticada, que permite que los atacantes consigan un beneficio económico inmediato de las llamadas que consiguen realizar. Consiste en la generación de llamadas automáticas desde tu PBX, contra números de tarificación premium tipo 806 que previamente han contratado ellos en países subdesarrollados - países del Este o bien de áfrica subsahariana. El propietario de estos números (el propio hacker) obtiene cuantiosos ingresos inmediatos por cada una de las llamadas entrantes.

¿Cómo se conectan los hackers?

Los hackers que intentarán este tipo de ataques utilizan una gran variedad de métodos de conexión: entrar por un puerto abierto en tu centralita (PBX) mediante una herramienta de escaneo de puertos SIP e intentos de fuerza bruta, acceder mediante una llamada telefónica a alguna aplicación de la PBX (Voicemail, DISA, IVR, Sala de conferencias, etc) o incluso atacando a terminales voip por el puerto SIP.

Bloqueo por DoS (Denegación del Servicio)

Este es un tipo de ataque bastante habitual en sistemas de datos, pero que también es aplicable a los sistemas de vozip. Se utiliza mucho en el caso de guerras cibernéticas.

Los ataques DoS consisten en enviar de golpe muchas solicitudes de conexión con un sistema determinado con el fin de bloquear o limitar su operativa.

En el caso de la voz ip, se envían muchas solicitudes de conexión SIP a tus sistemas de voz IP (nodos, gateways o centralita virtual) con el fin de saturar el ancho de banda y, como consecuencia, interrumpir o degradar el servicio.

Suplantación de identidad

Es una amenaza relativamente común en los sistemas de telefonía IP, principalmente por que nos se necesitan excesivos recursos para ponerlos en práctica. Los hackers realizan una escucha de la red donde se establecen la conversaciones voip (en base al protocolo SIP), extrayendo ciertos datos como por ejemplo el número de teléfono llamante.

Con esos datos podrían realizar llamadas en sus propios sistemas voip suplantando la identidad de la empresas objeto del delito o bien falseando el origen de la llamada: identificar que la llamada proviene de EEUU cuando en realidad la realizan desde China o Rusia, por ejemplo.

La flexibilidad de las redes de voz ip permite que un técnico con ciertos conocimientos pueda realizar esta operación de forma muy sencilla. Sin embargo, las administraciones de los países occidentales ponen cada vez más trabas legales para que estas prácticas estén lo más controladas posibles.

¿Cómo proteger tu ecosistema VoIP?

Puedes proteger tu sistema de voz ip de diferentes maneras. Aquí te presentamos las más habituales y recomendables:

Cortafuegos o Firewall

Un cortafuegos es un dispositivo de seguridad que se coloca en el perímetro de tu red: es decir entre tu red local y la red externa o Internet. Su principal función es decidir qué tráfico entra y sale de tu red. En otras palabras, los firewall implementan una barrera entre las redes internas seguras (controladas y fiables) e internet.

Para evitar los ataques de phreaking, debemos bloquear todos los puertos de acceso a tu centralita y terminales voip, principalmente los puertos SIP 5060 y 5160.

Controladores de borde de sesión (SBC)

El SBC, o Session Border Controller actua de forma parecida a un firewall pero en el ámbito específico de la voz IP, concretamente para el protocolo SIP. El SBC crea conexiones seguras entre tu sistema de voz IP y el proveedor del servicio o bien otros sistemas voip externos a tu red.

Cifrar las comunicaciones VoIP

Para un uso más seguro de las comunicaciones de voz ip, recomendamos también usar TLS en lugar de SIP. El "Transport Layer Security" o TLS es un protocolo que encripta la señalización SIP de modo que en caso de un escaneo del tráfico de red, el atacante no podrá descubrir datos esenciales como el números de teléfono de origen y destino de la llamada, que podría usarse en ataques de phreaking o suplantación de identidad.

Si además queremos garantizar la confidencialidad de nuestras conversaciones, deberemos cifrar el audio de la mismas mediante el protocolo SRTP. Hay que tener cuidado en este caso porque este protocolo consume muchos recursos de computación.

Contraseñas fuertes en PBX y terminales

Para empezar debemos revisar la configuración de nuestro servidor voip para garantizar que las claves que se usan para registrar nuestros terminales sean lo mas complejas posible. Esto es cada vez más habitual dado que los fabricantes de estos sistemas no permiten últimamente el uso de contraseñas no seguras.

Por otro lado, odos los terminales SIP tienen por defecto una clave sencilla para su configuración. Tan solo con saber el fabricante y modelo de los equipos telefónicos es relativamente fácil descubrir la contraseña. Es por eso que es muy importante cambiar todas y cada una de las contraseñas que vengan por defecto. Recomendamos encarecidamente usar contraseñas con un mínimo de 12 caracteres (incluyendo mayúsculas, minúsculas, números y símbolos especiales).

Limitar el acceso externo a aplicaciones

Hace años era muy habitual que para consultar nuestro voicemail, pudiésemos hacer una llamada desde el exterior y prácticamente sin tener que identificarnos. Este tipo de accesos, al igual que otras aplicaciones como el DISA, Sala de Conferencias virtual, etc. - son potencialmente muy peligrosos por la practica de el prehaking, y es mejor bloquearlos o en todo caso restringirlos con contraseñas y whitelist (solo aceptar llamadas de ciertos orígenes).

Límites de consumo de voz

Otra práctica recomendada para que no tengamos un susto en nuestra factura telefonica es establecer límites a nuestras llamadas y/o a nuestro consumo mensual de llamadas.

En primer lugar, podemos establecer que nuestra centralita y/o nuestro proveedor de servicios de voz solo permita llamadas a ciertos destinos controlados. Por ejemplo, llamar únicamente a números fijos y móviles de España y Europa, restringiendo así las llamadas a números de coste premium (902, 805, etc) , o bien a destinos internacionales caros.

En el caso que nuestro proveedor de servicios voip lo permita, podemos aplicar un límite diario o mensual de gasto telefónico, para que en el caso de que un desaprensivo se conecte a nuestro sistema con fines perversos, no perdamos más que la cantidad establecida como máximo.

Nubelfon en la seguridad VoIP

En Nubelfon nos tomamos muy en serio la ciberseguridad. Por eso hemos aplicado a nuestros sistemas internos todas las medidas que recomendamos en este post, y asesoramos a nuestros clientes para que las implanten en los suyos.

Además, todos nuestros sistemas se encuentran en data centers de última generación, redundados y debidamente securizados, que tenemos supervisados las 24 horas del día durante los 365 días del año. Esta monitorización permite reducir al máximo las vulnerabilidades del sistema y ataques de los ciberdelincuentes.

Si crees que necesitas ayuda en algún aspecto de seguridad, contacta con nuestro equipo de expertos y te atenderemos gustosamente.