Es normal que a la hora de elegir una tecnología, equipamiento o telefonía para nuestra empresa nos hagamos una serie de preguntas y no queramos cometer ningún error. Y la seguridad de la telefonía IP es una cuestión muy importante que hoy vamos a analizar; ¿es realmente segura?
¿Telefonía IP o telefonía tradicional?
La telefonía IP funciona a través de Internet y por eso mucha gente desconfía de su seguridad en comparación a las telefonías tradicionales. Pero las llamadas tradicionales no son más difíciles de localizar o escuchar que las llamadas por redes e interconexiones. De hecho, es más difícil espiar una llamada de VoIP porque los datos están codificados.
Esta desconfianza nace de la poca información a la que tenemos acceso sobre internet y cómo funciona realmente este tipo de telefonía. Si la voz viaja a través de internet, entonces debe hacerlo a través de una red pública. Este es el primer mito en el que cae la gente. Hay sistemas gratuitos que pueden permitirte que la voz viaje a través de una red pública, pero si tu empresa opta por la telefonía IP se utilizará una red privada para las llamadas que se realicen. Una red privada no es totalmente inaccesible, pero sí es mucho más segura, ya que para localizar y escuchar llamadas se necesitaría conseguir acceso de administrador a los equipos de la red. Disponer de una Red Privada Virtual (VPN) supone un nivel de aislamiento y seguridad bastante alto contra cualquier ataque externo.
Por eso un factor importante a la hora de implementar la telefonía IP en una empresa es la formación del personal sobre los riesgos de seguridad. Informar y educar a los trabajadores para que se evite un mal uso de esta tecnología puede evitar futuros ataques externos.
La seguridad de la telefonía IP presenta más beneficios en comparación a la telefonía tradicional, incluso aunque existan riesgos a la hora de utilizarla.
Los riesgos de la telefonía IP
Vamos a ver unos ejemplos de los que podrían ser riesgos a la hora de utilizar esta tecnología, y así analizar más a fondo la seguridad de la telefonía IP:
- Una red común : en el caso de la telefonía IP existe solo una única red común por la que viajan tanto los datos y la voz. Esto permite más flexibilidad, pero también puede ser peligroso al integrar los datos de voz si no se toman medidas de seguridad. Por eso existen protocolos (como SIP) de iniciación, modificación y finalización de sesiones para mantener un control y además se pueden instalar medidas o sistemas de seguridad adicionales.
- Ataques globales : al atacar la red, si la empresa no tiene un buen sistema de seguridad, se puede terminar atacando también otros niveles de la empresa, accediendo a información de clientes o proveedores. Aunque esto tiene fácil solución si se utiliza un sistema de seguridad específico para los datos de voz.
- Robo de identidad : se deshabilita el registro legítimo del usuario; esto es posible ya que los mensajes de señalización se envían en un texto plano y por tanto el intruso puede localizarlos, modificarlos y enviarlos como él quiera. Además, aunque se requiere una autenticación, el intruso puede hackear la cuenta y conseguir la contraseña del usuario. Aunque por suerte este es un riesgo que puede prevenirse de forma relativamente fácil; debemos contar con una contraseña fuerte, mantener nuestro equipo libre de malware, incluso activar la cuenta en dos pasos o más, etc.
La seguridad de la telefonía IP
Aunque puede recibir ataques externos, se puede asegurar la seguridad de la telefonía IP. Hay una serie de controles de seguridad que deben ser imprescindibles y también medidas que pueden reducir la mayoría de los riesgos y ataques externos.
- Mantener los sistemas actualizados: debe haber un control de los sistemas y el administrador de la red debe estar al corriente de las nuevas actualizaciones y sus aplicaciones en dichos sistemas.
- Tener una infraestructura de red segura: Es recomendable que existan antivirus en la red para proteger posibles ataques externos. Muchos ataques pueden detectarse gracias a la instalación de sistemas de detección y prevención como son IDS (Intrusion Detection System) y IPS (Intrusion Prevention System). Estos sistemas examinan y analizan paquetes en busca de datos sospechosos.
- Autenticación, autorización y cifrado: como hemos mencionado anteriormente, es recomendable configurar los dispositivos para que utilicen más de un paso a la hora de activar la cuenta. Y los dispositivos podrían también tener una limitación de las direcciones IP de las que pueden recibir tráfico. Una correcta configuración puede reducir en gran medida los ataques externos. El cifrado puede resolver la mayoría de problemas de manipulación y reproducción de los mensajes que se intercambian.
- El Secure Real-time Transport Protocol (o SRTP) : un perfil que proporciona autenticación y protección a la hora de enviar datos. Utilizar este tipo de perfiles como seguridad adicional es muy recomendable y puedes habilitar o deshabilitar los protocolos que presenta, por lo que puedes personalizar el cifrado y la configuración del perfil para lo que más te convenga.
La seguridad de la telefonía IP es una cuestión importante que puede generar muchas dudas, pero a la que se le debe dar mucha importancia. La telefonía IP no es infalible pero con la formación adecuada y los sistemas actualizados no debería ser un motivo de inquietud para nadie.
La telefonía IP y la WebRTC
La «Web Real Time Communication» (WebRTC) es un estándar abierto que provee características VoIP a las páginas webs. Cuando una empresa se decide por la telefonía IP, y tiene sistemas de comunicación como la centralita virtual o el call center, si opta por la WebRTC puede utilizar navegadores como Chrome para comunicarse (llamadas, mensajería, videoconferencias…) sin necesidad de plugins o dispositivos externos.
Es decir, la WebRTC es una forma sencilla de conseguir un sistema de comunicación VoIP a través de la web. Entonces, ¿Qué podemos esperar de la seguridad de la telefonía IP en este caso?
Tus líneas virtuales desde cualquier lugar
Tus líneas virtuales desde cualquier lugar
¿Qué tipo de seguridad ofrece WebRTC?
En el caso de la WebRTC, la transmisión de los datos se lleva a cabo a través del protocolo SRTP (Secure Real-Time Transport Protocol) por lo que la comunicación es directa, de navegador a navegador y no necesita de un servidor de streaming. Además, los mismos navegadores incluyen unos parches de seguridad que suelen actualizarse de forma periódica.
El hecho de que esta tecnología no utilice componentes de hardware o aplicaciones de software significa un riesgo menos del que preocuparse. Cada aplicación o hardware externo y nuevo es una puerta que se abre para los hackers. Sin estos sistemas externos, la tecnología Web resulta más segura que cualquier otro sistema de comunicación que sí los necesite.
También se garantiza una codificación segura con la WebRTC a través de los protocolos DTLS (Datagram Transport Layer Security) que proporcionan privacidad.
Por lo tanto, la seguridad de la telefonía IP mejora incuestionablemente a la hora de aplicarse con una tecnología como la WebRTC que proporciona flexibilidad, calidad y rapidez.