Los teléfonos IP como riesgo de seguridad: terminales VoIP en el fuego cruzado
No se utilizan solo como espías, sino que también son presa fácil para los ciberdelincuentes: los teléfonos IP se convierten repetidamente en el foco de atención de los medios debido a fallos de seguridad.
Recientemente, los medios de comunicación estadounidenses informaron sobre las acusaciones correspondientes hechas contra ciertas marcas con una elevada cuota de mercado. Esto alimenta el prejuicio que existe sobre la inseguridad generalizada de los terminales IP. Por supuesto, "en términos de seguridad ofrecida, no se pueden meter en el mismo saco todos los teléfonos IP", explica Luca Livraga, jefe de equipo de soporte técnico internacional de Snom. Los mecanismos de seguridad incorporados difieren mucho entre las distintas marcas y no depende solo de la implementación técnica.
Otros países, otras costumbres
Las directrices de protección de datos aplicables en Europa son actualmente las más estrictas del mundo. Algunas prácticas que se han establecido en otros lugares, se consideran graves brechas de seguridad en Europa. Ejemplos de ello son la venta de datos de uso a terceros y el acceso automático a datos e información para organismos gubernamentales.
Los fabricantes y gobiernos europeos mantienen una postura intransigente: no se permite espiar ni siquiera un teléfono o acceder a los datos de uso sin una orden judicial previa o la aprobación de varios comités. Esto también se aplica a los gobiernos. Con SRAPS, Snom añade un obstáculo adicional. El servidor SRAPS se encuentra en Alemania, un estado que actualmente cuenta con las leyes de protección de datos más estrictas.
"Por ejemplo, lo único que definitivamente transmiten los teléfonos Snom son los datos acordados globalmente para rastrear una llamada recibida por el servicio público de llamadas de emergencia, como cuando una persona que busca ayuda no puede comunicar su ubicación. Aquí, la dirección IP del teléfono solo se puede rastrear hasta su ubicación (la dirección, si es necesario el piso) mediante protocolos estandarizados para la prestación de servicios de emergencia por parte de organismos legítimos", explica Livraga.
Por lo tanto, la idea de transmitir datos de conversación o incluso conversaciones completas a terceros, como los minoristas en línea, ni siquiera se considera. Incluso el acceso (en remoto) a los teléfonos por parte de un servicio de atención al cliente de confianza o distribuidores especializados con fines de mantenimiento está sujeto a la protección de datos. El distribuidor está legalmente obligado a hacer que cualquier información personal del usuario sea anónima. Snom incluso se asegura de que se eliminen todos los datos personales de los teléfonos enviados para reparaciones, a fin de evitar cualquier posible uso indebido.
Además, el seguimiento de los datos de conexión de una o varias llamadas con el fin de solucionar problemas a través del firmware de los teléfonos solo se realiza con la aprobación de la otra parte, y los datos técnicos registrados no tienen ningún valor para nadie, excepto para el empleado de soporte. Las interfaces para almacenar datos de uso en el PC del usuario o para la transmisión completa a terceros no están disponibles en los teléfonos Snom.
El teléfono IP: ¿Qué fiabilidad ofrece?
Además del nivel mínimo de seguridad legalmente prescrito, hay fabricantes que instalan varios mecanismos de seguridad en los teléfonos. Livraga utiliza dos ejemplos para explicar lo que es importante cuando se trata de proteger el curso de la conversación e intercambiar información entre el teléfono y la centralita.
• Certificados e identificación del teléfono
Los parámetros se transfieren de la centralita al teléfono a través de https y requiere el intercambio de certificados y la mutua autenticación por defecto. Cada dispositivo Snom dispone de un certificado único asociado a la dirección MAC. La centralita comprueba la exactitud y validez del certificado antes de aprobar la conexión. "Esto podría compararse con un procedimiento de identificación presentando el DNI personal del teléfono", explica Livraga. Entonces, el teléfono Snom también comprueba el certificado del servidor para asegurarse de que está conectado al PABX correcto.
Este procedimiento, denominado autenticación silenciosa, evita los ciberataques más comunes. Otros mecanismos también impiden que el certificado sea reconocido como válido, incluso si se manipula la dirección MAC. Así que todo lo que queda es el robo del teléfono como una solución alternativa. Sin embargo, "este camino es muy laborioso, y ahí es exactamente dónde radica el concepto de seguridad informática: complicar el proceso de tal manera que sea desfavorable. Sin embargo, Snom ha previsto para esta eventualidad que el teléfono pierda todos los datos en cuanto se desconecte de la alimentación, por lo que este intento también es inútil", añade Livraga.
• Puerto RTP aleatorio y flujo de datos encriptado
Este es el primer nivel de seguridad. Otra medida de seguridad contra la grabación de llamadas telefónicas es la aleatorización de los puertos de entrada y salida para el flujo de datos RTP (o sea para la llamada telefónica) y su cifrado (SRTP). La centralita y el teléfono se comunican entre sí a través de certificados, pero el teléfono decide de forma independiente qué puerto utilizar para cada llamada. Esto se lleva a cabo automáticamente y obliga a los posibles atacantes a realizar una serie de análisis para identificar el puerto utilizado. Aquí es donde entran en juego los firewalls de red: a través de los escaneos anormales, los cortafuegos detectan rápidamente que se está produciendo un intento de ataque.
Seguridad: el usuario se incluye también en la demanda
"Siempre que se adhiera a nuestras pautas para el uso de https y contraseñas seguras, así como la implementación de todas las actualizaciones, estará a salvo. Pero en este contexto, también es importante seleccionar un sistema telefónico que tenga las mismas prioridades", confirma Livraga. "De lo contrario, es como cerrar el coche, ¡Pero dejando el capó abierto! Por eso es importante dirigirse a profesionales certificados".