Transformation in die Cloud - welche Cloud darf es sein?
Perspective Future Networks

Seguridad VoIP: hechos en lugar de prejuicios.

14-jul-2017

Se ha dicho en repetidas ocasiones que la telefonía IP no es segura. Especialmente desde que Snowden anunció que la Agencia de Seguridad Nacional de los EE.UU. vigila Skype. Por lo tanto, ¿cuán segura es la VoIP en realidad?
Las propias empresas tienen que decidir qué nivel de protección necesita su comunicación VoIP.
Una cosa tiene que quedar clara: la telefonía IP no siempre es lo mismo que la telefonía por Internet. Pero los críticos, con frecuencia, esgrimen los defectos de seguridad de Internet como argumento principal para la presunta falta de seguridad de la información que ofrece la Voz sobre Protocolo de Internet (VoIP). Sin embargo, también se pueden prestar servicios de telefonía a través de redes IP seguras; no hay por qué usar, necesariamente, Internet. Por lo tanto, cualquiera que quiera saber lo susceptible a los ciberataques que es la VoIP tendrá que hacer la diferencia entre:
  • prestadores de servicios over the top (OTT) como Skype y WhatsApp, que no operan su propia red y ofrecen servicios de telefonía principalmente a través del Internet público y
  • empresas de telecomunicaciones que, gracias a su propia infraestructura, pueden ofrecer VoIP a través de redes privadas seguras.
Deutsche Telekom, por ejemplo, transporta los datos para llamadas a teléfonos fijos a través de su propia red, es decir a través de conexiones en la red troncal IP de Telekom que, lógicamente, están separadas de las conexiones para otros servicios. Como resultado, la telefonía IP en la red de operador ofrece un nivel de seguridad comparable al de la vieja red telefónica, la Red Telefónica Conmutada (o PSTN - Public Switched Telephone Network). 
El inconveniente: si una de las personas que está realizando la llamada tiene un proveedor de servicios de telefonía diferente, los datos también pasarán por su red. Por lo tanto, de las redes involucradas dependerá el nivel de inmunidad a la interceptación de las llamadas. Dicho eso, esto también ocurría con las redes telefónicas antiguas. La mayor parte de los operadores de redes de telefonía en Alemania y en el extranjero se toman grandes molestias para asegurarse de que su infraestructura es segura.

ISDN: Acceso y red interna. Un punto débil

Esencialmente, un atacante necesita unos conocimientos más específicos cuando ataca la VoIP que en el caso de la PSTN. Después de todo, no había disposiciones para el cifrado en la “última milla” con telefonía análoga o ISDN. El cifrado tampoco era algo habitual en las redes locales (LAN). Para escuchar una llamada, un atacante solo necesita acceso físico a la red LAN o una línea relevante, por ejemplo en el sótano de un edificio. Sin embargo, con una conexión de voz SIP, la llamada entre dos personas se puede transmitir de manera cifrada bajo circunstancias específicas, haciendo que la escucha sea virtualmente imposible. En el futuro, también será posible cifrar ciertas conexiones Telekom VoIP entre la persona que realiza la llamada y los interlocutores nuevos: a través de protocolos de cifrado seguros “SIP over TLS” (o SIPS (Session Initiation Protocol Secure)) y SRTP (Secure Real Time Protocol). No obstante, para que esto sea posible el sistema de telecomunicaciones (TC system) utilizado o el cliente de telefonía SIP tiene que ser compatible con ambos protocolos.
Entonces, ¿las conexiones de conversión a SIP no necesitan un replanteamiento cuando se trata de seguridad? En realidad, sí. Después de todo, los ataques en el pasado afectaban la infraestructura de telefonía de una empresa más que sus redes de datos. Con la telefonía IP, la voz y los datos utilizan la misma red: la red de área local (LAN) dentro de páginas web individuales y, en el caso de un sistema TC central, la red de área extendida (WAN) de varias páginas. Por lo tanto, la seguridad de VoIP también influye en la seguridad de las redes de datos. Y viceversa: un pirata informático podría escuchar las llamadas de teléfono de un empleado mediante un enrutador o PC pirateado conectado a la red WAN. Y esto es posible desde un lugar remoto.

La separación de redes no es una opción

Las empresas podrían, simplemente, separar físicamente la red de voz y la de datos. Sin embargo, esto podría acabar con muchos de los beneficios de la Voice over IP: por ejemplo, la facilidad para lidiar, de manera conjunta, con telefonía y datos mediante los cables LAN existentes o utilizar sistemas telefónicos en servidores estandarizados en el centro de datos. 
Entonces, ¿qué medidas deberían tomar las empresas para hacer que la telefonía -y por lo tanto también sus datos- sea segura? No hay una solución fácil. Al fin y al cabo, cada empresa debe evaluar, de manera individual, qué nivel de seguridad VoIP necesita. Sin embargo, hay al menos dos aspectos fundamentales: el uso de controladores de frontera de sesión (SBC, VoIP firewall) y la necesidad de cifrado.

Un muro de protección para la red pública

Cada empresa opera un firewall entre Internet y la red empresarial. En muchos casos, se necesita un segundo muro de protección para las redes de voz basadas en IP de los portadores para asegurar la seguridad VoIP. Dependiendo del nivel de seguridad necesario, este muro protector se puede aplicar en tres versiones:
  1. Enrutadores únicos en cada ubicación: Sólo el firewall en el enrutador existente (cortafuegos de inspección de paquetes) –o funciones SBC mínimas– asegura el tráfico de datos entre la red empresarial local y la conexión SIP local. Esta arquitectura de seguridad puede ser suficiente para muchos requisitos.
  2. Enrutadores actualizados en cada ubicación: Los enrutadores mucho más complejos con funciones SBC que separan la red interna y externa y dan soporte al cifrado ofrecen una mayor seguridad VoIP. Naturalmente, estos enrutadores son mucho más caros.
  3. Un controlador de frontera de sesión central (SBC): Este componente de red está especialmente diseñado para la seguridad VoIP. Reconoce ataques -por ejemplo, rechaza ataques DDoS-, da soporte al cifrado de la señal y los datos de voz y convierte todo esto en otro formato (transcodificación). Así que el Servicio Federal Alemán de Seguridad de la Información (BSI) recomienda que las multinacionales utilicen un SBC para asegurar una conexión del sistema IP. Sin embargo, el hecho que un SBC con frecuencia cueste una cantidad que oscila entre cuatro y cinco dígitos significa que no es rentable como medio de protección local para cada ubicación. Por lo tanto, las empresas deberían pensar en centralizar su infraestructura VoIP y confiar las conexiones VoIP a la red de operador a través de un SBC central. 

Un lenguaje secreto, por favor

Si una empresa quiere cifrar su telefonía IP, esto es mucho más fácil que con ISDN. Después de todo, el cifrado IP es una parte fija de prácticamente todos los sistemas operativos y, por lo general, se puede usar también para el cifrado VoIP. Por lo tanto, la función está integrada en muchos softphones y teléfonos IP. 
Ahora las empresas tienen que preguntarse cuánto quieren cifrar. Para la comunicación interna, esto significa bien solamente en WAN, bien dentro de la ubicación en LAN. Muchas WAN consisten en VPN seguras basadas en el protocolo MPLS y facilitadas por un operador de red. Sin embargo, los datos de llamada se pueden seguir cifrando, por ejemplo con SRTP y SIPS. Para asegurar los estándares de seguridad más altos, las empresas hasta pueden configurar un cifrado IPSec para MPLS-VPN. El cifrado en LAN es rentable si, por ejemplo, las empresas no quieren que sus propios empleados escuchen las llamadas.
Sin embargo, cifrar las llamadas telefónicas externas de extremo a extremo es complejo. Después de todo, los dispositivos finales utilizados por ambos interlocutores tienen que utilizar la misma tecnología de cifrado. Sin embargo, hasta el momento no hay un estándar adecuadamente establecido para esta tecnología. Por lo tanto, solo vale la pena proveer a los dos interlocutores con smartphones adecuadamente equipados en el caso de llamadas críticas. Por ejemplo, entre directores de una empresa.

Conclusión

Los servicios VoIP que presta Telekom a través de su infraestructura All-IP están separados de otros servicios de comunicación, independientes de Internet, y ofrecen un nivel de seguridad comparable al de las llamadas realizadas a través de la antigua red telefónica PSTN. Incluso podrían ser más seguros; después de todo un pirata informático necesita unos conocimientos técnicos más avanzados cuando ataca VoIP que en el caso de ISDN. Sin embargo, los piratas pueden atacar los componentes VoIP de las empresas desde un lugar remoto y así obtener acceso, también, a sus redes de datos. Los controladores de frontera de sesión entre la red de operador y las redes empresariales y el cifrado de extremo a extremo de las llamadas críticas son una solución; dependiendo de los requisitos de seguridad de la empresa.