Los ataques contra VoIP están en aumento y es importante que las empresas sepan cómo defenderse, al mismo tiempo que cumplen con los reguladores que desean pruebas de que la seguridad del sistema obedece a las regulaciones siempre cambiantes.
¿Cuáles son las amenazas?
Muchas empresas aún carecen de la protección de cifrado básica contra problemas como la denegación de servicio de VoIP, los ataques de espionaje y el fraude telefónico, según los expertos de la industria. Este es un problema que debe abordarse con urgencia debido al riesgo de que esto pueda hacer que no cumplan con el marco regulatorio floreciente, que incluye HIPPA (Ley de Portabilidad y Responsabilidad del Seguro Médico), PCI (Estándares de tarjetas de pago) y Sarbanes Oxley. Actos que se revisan con tanta frecuencia que son una especie de objetivo en movimiento.
Este problema ha pasado a primer plano en los últimos años debido a eventos relacionados con retiradas de productos por motivos de seguridad, fraude financiero y, lamentablemente, desastres en la salud y seguridad ambiental. Los reguladores y organismos estadounidenses de otras jurisdicciones han intensificado la lucha reforzando su control legislativo. En términos generales, estas regulaciones buscan proteger la información personal que podría llevar a casos de robo de identidad, cuentas bancarias comprometidas, fraude telefónico corporativo o uso fraudulento de tarjetas de crédito.
Si bien VoIP rara vez se aborda directamente en estas regulaciones revisadas, las reglas aún se aplican a esta tecnología en muchos casos. Por ejemplo, los estándares PCI establecen el requisito para el uso de seguridad y criptografía como SSL / TLS / IPSEC para proteger los datos del titular de la tarjeta mientras se transmiten a través de redes públicas abiertas.
Esto significa que las llamadas VoIP que atraviesan Internet y que incluyen detalles de tarjetas de crédito deben estar encriptadas. Aunque esto no se aplicaría a las llamadas VoIP realizadas en redes internas, los expertos temen que las empresas puedan verse obligadas a validar que estas llamadas están encriptadas. Dependiendo del idioma utilizado en las regulaciones, esto podría interpretarse para referirse a VoIP.
Como ejemplo, HIPAA ha dicho que las empresas deben tomar medidas para garantizar la seguridad de la información de salud administrada electrónicamente. Es posible que esto no se asocie inmediatamente con las llamadas VoIP, pero podría afectar las llamadas grabadas o el almacenamiento de correo de voz digital, los cuales son parte de la mayoría de los sistemas VoIP. Del mismo modo, si se utiliza un sistema de voz interactivo para navegar hacia información protegida, entonces su uso debe ser monitoreado y documentado.
Por el contrario, la Corporación Federal de Seguro de Depósitos de los Estados Unidos (FDIC) ahora publica pautas específicas para VoIP que busca proteger los datos de los clientes que viajan en redes de voz IP bajo las regulaciones de Graham Leach Billey. Los riesgos asociados con el uso de VoIP deben evaluarse junto con otras evaluaciones periódicas de riesgos comerciales de acuerdo con este consejo. Cualquier debilidad debe corregirse tan pronto como se identifique y se enumeren otras nueve recomendaciones para que las organizaciones las cumplan.
Un experto en la industria de VoIP describe un ejemplo de una amenaza real para la seguridad de la siguiente manera. Un cliente que sospechaba que se estaban escuchando a escondidas decidió plantar información falsificada en las llamadas de VoIP para observar si las partes a las que sospechaba que se refería más tarde la estaban escuchando. Se supo que las llamadas VoIP habían sido intervenidas por un tercero que tenía acceso a la red corporativa. Hay otro ejemplo a menudo citado en el que se accedió ilegalmente a las comunicaciones de video de un CEO.
Terminación de voz: el futuro
Algunos líderes empresariales intentan educarse para mantenerse al día con las regulaciones, pero esto es notoriamente difícil de hacer. Muchos otros pasan por alto VoIP por completo, considerándolo como 'solo' un sistema telefónico invulnerable. A medida que las regulaciones se vuelven más complejas, las empresas se verán obligadas a abordar su cumplimiento de VoIP de frente, posiblemente invirtiendo en estructuras internas para monitorearlas e implementarlas o pagando por los servicios de un tercero experto.
Las tareas pueden volverse abrumadoras rápidamente para un departamento de TI de tamaño promedio, que además de cumplir con las demandas de los reguladores y producir informes de cumplimiento cada trimestre, también puede exigir la verificación de seguridad como parte de otros contratos. Las empresas que graban rutinariamente sus llamadas VoIP deberán considerar las regulaciones en términos de almacenamiento, en caso de que se deba acceder de manera ilícita a las conversaciones.
Es una buena idea responder a los detalles de los ataques publicados comparando los sistemas involucrados con el suyo para analizar las defensas. ¿Podría haber evitado que ocurriera un ataque similar? Si la respuesta es no, será necesario tomar medidas adicionales. Sin embargo, la oportunidad de aprender de las desgracias de otros es limitada porque no existe ningún incentivo para que las empresas revelen si han sufrido una infracción.
Aquí en IDT somos una empresa que puede aprovechar los servicios de consultores y otros especialistas y tener un historial probado en la implementación de soluciones de VoIP.
