Conectar cualquier tipo de dispositivo a una red que está vinculada a Internet presenta un elemento de riesgo. De hecho, cuantos más dispositivos tenga conectados, mayor será el riesgo. Este problema ha sido destacado por la reciente proliferación de los dispositivos de Internet de las cosas, pero se aplica igualmente a la difusión de los sistemas de comunicación de voz basados en VoIP.
Los ataques de VoIP están en aumento; Debido a que la tecnología utiliza la misma red para su tráfico de voz y datos, existe la posibilidad de que un hacker pueda acceder a su red a través de una conexión de teléfono IP. Muchos sistemas también se integran con los teléfonos inteligentes, dejando abierta otra posible vía de ataque.
Si se cambia a VoIP para aprovechar las tarifas de terminación de VoIP al por mayor de especialistas como IDT Express, debe conocer las posibles amenazas y lo que puede hacer al respecto.
Planes de ataque
VoIP puede utilizar varios protocolos de comunicación diferentes. El más común es SIP, que como era de esperar también es el más comprometido, pero también hay H225, así como sistemas propietarios, incluido el SCCP de Cisco.
Los medios exactos de ataque variarán según el protocolo en uso, pero tienden a tener objetivos comunes. Las llamadas maliciosas se pueden utilizar como una forma de ataque DDoS para sobrecargar e intentar derribar la red. Esto puede ser un fin en sí mismo, interrumpir el negocio o exigir un rescate, pero también puede usarse como un medio para distraerse de otro ataque a la red con la intención de robar datos o introducir malware.
Los atacantes intentarán obtener tanta información sobre su sistema VoIP como puedan, la cantidad de números en uso, cuántas extensiones hay, etc. Luego pueden usar esta información para bombardear su sistema con llamadas de spam o, más probablemente, vender sus datos en centros de llamadas no autorizados. También es posible que intenten obtener acceso a su sistema para realizar llamadas en su cuenta para que pueda pagar la factura.
Esto se conoce como "fraude telefónico", pero puede ir mucho más allá de simplemente permitir que los hackers realicen llamadas no autorizadas. Con suficiente acceso a su red, incluso pueden configurar una PBX alojada 'fantasma' adicional, lo que les permite hacer muchas llamadas falsas que terminan pagando.
Cómo protegerse
Así que hemos visto algunos de los motivos comunes para atacar los sistemas VoIP. Pero, ¿qué puedes hacer para protegerte de ellos? Muchos profesionales de seguridad ahora creen que los ataques a la red son una cuestión de "cuándo" en lugar de "si". En muchos casos, la vida de los atacantes se hace más fácil gracias a configuraciones erróneas y políticas de seguridad mal aplicadas.
Muchas de las cosas que puede hacer para proteger su sistema VoIP son sencillas. Usar contraseñas seguras, por ejemplo, es esencial. Nunca deje la contraseña predeterminada establecida en ningún teléfono u otro dispositivo y asegúrese de que los empleados siempre usen sus propios códigos de acceso y no los compartan con nadie más. Evite contraseñas débiles como el nombre de su empresa y asegúrese de aplicar una combinación de mayúsculas y minúsculas y números para que las contraseñas sean más difíciles de descifrar.
Las llamadas VoIP son en realidad más difíciles de interceptar que las llamadas PSTN antiguas. Sin embargo, si le preocupa exponer información confidencial, también puede analizar el cifrado del tráfico de la red para que, si se interceptan los datos de la llamada, el atacante siga siendo inútil. Es posible que ya tenga la capacidad de hacer esto integrado en su enrutador o firewall, por lo que podría ser solo un caso de activación del cifrado.
Si tiene empleados que acceden a su sistema VoIP desde el exterior, en dispositivos móviles o cuando trabajan desde casa, es posible que desee considerar el uso de una VPN. Esto crea un 'túnel' seguro a través de la Internet pública para que su información no pueda ser interceptada y permite que los trabajadores remotos accedan a su red como si estuvieran en el mismo edificio.
Los errores en la configuración a menudo pueden conducir a vulnerabilidades y estas se pasan por alto fácilmente. Por lo tanto, es importante que pruebe su red para encontrar cualquier debilidad que pueda abordar según sea necesario. Si no tiene la capacidad de hacerlo usted mismo, hay especialistas que pueden hacerlo por usted.
Finalmente, no olvides a tu personal. Asegurarse de que las personas estén debidamente capacitadas para usar el sistema y usarlo de manera segura es un paso vital para garantizar que su sistema VoIP y toda su red permanezcan seguros.
Es preferible tomar medidas ahora para asegurarse de que su red esté protegida que tener que recoger las piezas de una violación de datos, con todo el daño potencial a la reputación y financiero que ello implica, en una etapa posterior.
