En la parte 1 sobre este tema http://atorresa.blogspot.com/2007/05/seguridad-en-voip.html hablamos en general de los riesgos de la telefonía convencional y sus similitudes con los riesgos presentados en la telefonía VoIP, pero la rápida evolución que ha tenido la VoIP y en especial la gran cantidad de equipos y software basados en protocolo SIP, que están saliendo últimamente, Hacen necesario que retomemos este tema.
La economía, simplicidad y flexibilidad del protocolo SIP, son características que lo han hecho más popular que H323, y lo convierten también en más vulnerable. Enumeraremos algunas de estas vulnerabilidades, para poderlas tener en cuenta al realizar una implantación de VoIP y las marcas y o tecnologías que se usaran.
Para simplificar el tema lo dividiremos en dos, por un lado están los riesgos asociados al uso de equipos de VoIP en protocolo SIP como los gateways o los ATA, y por el otro el uso de software basado en SIP para uso en un PC.
En el primer caso los riesgos son menores, y se podrían reducir a:
Llamadas no solicitadas, Voip pishing perdida de la privacidad y robo de minutos.
Esto se da por que muchos operadores o prestadores de servicios VoIP en el afán de reducir costos tienen sistemas de identificación y contabilidad muy precarios, en algunos casos solo usan la dirección IP o una contraseña que es trasmitida en texto plano para estar seguros que eres el usuario autorizado.
Pero en el caso de las aplicaciones que corren en un PC los riesgos son mucho mayores ya que en un PC con una aplicación SIP, no solo se puede trasmitir voz, también se puede trasmitir video, archivos o tomar el control del PC para ejecutar programas sin nuestro consentimiento.
Esto ha convertido a las aplicaciones que corren sobre SIP como el Messenger en un nuevo medio para trasmitir worms o cualquier otro tipo de malware, y con esto todos los riesgos que encontramos en otras tecnologías como el correo o la web.
Lo más preocupante es que por ser un nuevo paradigma ni las empresas que se dedican al software de seguridad, ni los usuarios tienen la experiencia, que tienen para controlar los riesgos en entornos como en el correo o la web.
Como no existe mucho desarrollo en antimalware para VoIP, cuando estemos explorando estas tecnologías, es mejor hacerlo de la mano de empresas y tecnologías reconocidas que nos den el soporte y las actualizaciones necesarias para los riesgos que a estas están asociados.
Aunque son preocupantes los riesgos planteados, el potencial de la tecnología VoIP para las empresas es tan grande que parece imposible que existan empresas con la intención de mantenerse competitivas y no tengan algún plan alrededor de esta tecnología.
Comentarios recientes