Las ciberamenazas tienen muchas formas y tamaños, ya sean individuos que trabajan para estafar a alguien a pequeña escala o divisiones de ciberguerra patrocinadas por un estado que pretenden perturbar la vida en todo el mundo occidental. Los MSP desempeñan un papel vital en la protección de las empresas frente a estas amenazas, especialmente en lo que se refiere a las comunicaciones. Al fin y al cabo, si la seguridad de tu VoIP se ve comprometida, significa que los atacantes tienen acceso a todas tus comunicaciones.
¿Son seguros los teléfonos VoIP?
Depende de los sistemas de tu proveedor. Muchos teléfonos VoIP son funcionalmente seguros, es decir, se actualizan con regularidad y es difícil entrar en ellos. Sin embargo, preguntar «¿son seguros los teléfonos VoIP?» es una pregunta delicada porque dependen de muchos otros aspectos de tu sistema VoIP. Así que veamos a continuación las formas más comunes de ciberataque para hacernos una idea de lo seguros que son realmente los teléfonos VoIP.
Formas habituales de ciberataque
Diferentes formas de seguridad VoIP son eficaces contra diferentes formas de ciberataque, por lo que es esencial entender cómo ven los especialistas en seguridad las vulnerabilidades de un sistema. En general, puedes centrarte en una de estas áreas centrales de un sistema VoIP.
- Hardware
- Software
- Humanos
Hardware VoIP
Cuando hablamos de hardware VoIP, nos referimos a los propios teléfonos VoIP y a todo lo que se conecta a ellos. Un sistema VoIP seguro garantiza que los datos que envía el teléfono están cifrados de principio a fin y que el teléfono utiliza firmware actualizado. Pero la cosa no acaba ahí. Todos los enlaces intermedios también deben ser seguros.
Esto significa que un sistema VoIP seguro debe tener en cuenta el router, el cortafuegos, los servidores por los que pasan los datos y el dispositivo final. Los MSP no pueden controlar el dispositivo final (a menos que sea interno o uno de sus propios clientes), pero pueden crear un sistema VoIP seguro que ofrezca a todos las mayores posibilidades de éxito.
Desgraciadamente, el crecimiento del Internet de las Cosas ha demostrado que es relativamente fácil socavar la seguridad del hardware, sobre todo de los routers y las cámaras. Incluso los electrodomésticos de cocina conectados, como las cafeteras inteligentes, pueden utilizarse como punto de entrada a una red o para enviar datos maliciosos, ya que el firmware rara vez se actualiza en estos dispositivos.
Aunque hay un poco más de atención cuando se trata de la seguridad de VoIP, todo ese trabajo puede ser deshecho por un hardware comprometido en otra parte de la red. Por eso necesitas una solución totalmente encriptada.
Software VoIP
En general, el hardware es más fácil de piratear porque suele estar obsoleto. El software, sin embargo, debería actualizarse constantemente… pero claro, no lo hace.
A veces, puede haber problemas con las empresas que abandonan el software, que entonces se vuelve gradualmente cada vez menos seguro. La seguridad por oscuridad no es algo en lo que deba confiar ninguna empresa. Un teléfono VoIP seguro es estupendo, pero si el software a través del cual transmite sus mensajes se ha visto comprometido (independientemente del extremo en que esto ocurra), no va a seguir siendo seguro.
Los MSP siempre pueden controlar el software que utilizan sus clientes, normalmente mediante una buena selección de proveedores y asegurándose de que todo lo que esté al final de su vida útil se actualice a la mejor versión. Por eso es tan importante el software como servicio: garantiza que el software permanezca siempre actualizado y no sólo durante el primer año. Por eso una buena seguridad de la centralita empieza con un cliente de software seguro y actualizado que incluya llamadas de voz cifradas, así como vídeo y datos.
Error humano
Desgraciadamente, puedes comprar el mejor teléfono VoIP que puedas permitirte, tener el sistema VoIP más seguro, y todo puede deshacerse si los humanos de la cadena caen presa de una estafa de phishing.
Los estafadores intentan a menudo obtener credenciales a través de correos electrónicos aparentemente legítimos, y aunque los sistemas de spam hacen un buen trabajo eliminando a muchos de ellos, no son perfectos. Un buen sistema de seguridad informática debe limitar al máximo la información, garantizando que, aunque alguien se vea comprometido, no pueda hacer demasiado daño.
Esto incluye el acceso a tu sistema VoIP. Una buena seguridad de la red VoIP, por supuesto, significa tener en cuenta el elemento humano, como utilizar 2FA/MFA para reducir el riesgo de contraseñas, garantizar que se minimizan los dispositivos de terceros mediante el uso de un SBC incorporado y salar y hashing las contraseñas almacenadas. Pero una buena seguridad de la red VoIP también significa formar a tu personal para que detecte las señales de ingeniería social, animarles a informar de posibles violaciones (aunque las hayan provocado ellos) y asegurarse de que pueden cuestionar correos electrónicos o conversaciones aparentemente legítimos que parezcan plantear un riesgo de violación de la seguridad (como que alguien exija credenciales de usuario).
También es esencial restringir el acceso a quienes no lo necesitan, aunque crean que sí. Por ejemplo, es habitual que las empresas proporcionen credenciales de alto nivel a los directores generales y otros ejecutivos de la C‑suite, aunque no las necesiten. Esta práctica puede socavar gravemente la seguridad, ya que los CEO tienen autoridad y pueden dar órdenes que no siempre se cuestionan. Además, suelen tener la mayor información pública disponible sobre ellos.
Ataques combinados
La mayoría de los ciberataques que causan daños utilizan una mezcla de métodos, por supuesto.
Como vimos con el ataque a 3CX en 2023, el punto de debilidad inicial fue que un desarrollador de la empresa descargó software que había sido comprometido: un error humano. Lo que ocurrió entonces fue que el desarrollador trabajó en proyectos mientras los atacantes empezaban a insertar código malicioso en el software, creando software comprometido. El control de calidad del software no detectó el código comprometido, por la razón que fuera, y el resultado pasó a producción. Miles de usuarios descargaron el software comprometido, y experimentaron mucho estrés y preocupación debido a este fallo de la seguridad de la centralita.
Peor aún, algunos clientes culparon a sus MSP de la brecha de seguridad: muchos tuvieron que apresurarse para mitigar las consecuencias.
Un asunto menos publicitado fueron las consecuencias de los teléfonos Yealink, algunos de los cuales, al parecer, enviaban datos a servidores chinos. Este fue un ejemplo de hardware potencialmente comprometido. Es difícil saber con seguridad si la seguridad VoIP de estos teléfonos estaba realmente comprometida, pero no tenía buena pinta para Yealink. Se plantearon preguntas en el Congreso de EEUU, exigiendo saber si se interceptaban las llamadas de los departamentos estadounidenses.
Casi tan malo era el acuerdo de licencia de usuario final, que obligaba a los usuarios a aceptar la legislación china, por lo que había muy pocos recursos en caso de que una empresa o un gobierno tuvieran algún problema.
El hardware comprometido podría dar lugar potencialmente a un software comprometido, si se utilizara como vector de ataque, o podría interceptar una llamada que contuviera datos sensibles (error humano).
Por qué los ciberatacantes comprometen la seguridad de la VoIP
Hay tres razones clave por las que los ciberatacantes ponen en peligro la seguridad de VoIP:
- Ganancia monetaria
- Causar trastornos
- Porque pueden
Los dos primeros están muy relacionados: piratear o irrumpir en un sistema VoIP reporta algún tipo de beneficio. El ransomware es el método clásico de paralizar toda una red bloqueando los ordenadores mediante software. Este software es notoriamente difícil de descifrar, y a menudo cifra el contenido de cualquier almacenamiento, haciéndolo imposible de recuperar. Normalmente, las víctimas del ransomware tienen que pagar una cuota si no tienen buenas copias de seguridad para (tal vez) recuperar sus datos. En algunos casos, sin embargo, se paga la cuota y nunca recuperan sus datos.
Otra posibilidad es que intenten trasladar el dinero a cuentas extraterritoriales, desde donde se trasladará por todo el mundo a sus cuentas. Esto podría ser tan sencillo como persuadir a un cliente para que haga un pedido y el dinero vaya a una cuenta que ellos controlen. Si tienen acceso a un sistema VoIP no seguro, esto podría ser muy fácil, sobre todo si la empresa no sigue las mejores prácticas de seguridad VoIP.
En muchos casos, sobre todo cuando los hackers están patrocinados por un Estado, el objetivo es causar trastornos, no obtener beneficios económicos. Esto se debe a que ciertos Estados, como Rusia, pretenden perturbar a las empresas occidentales para sembrar el descontento. Todo forma parte de una guerra de información por parte de Rusia (y otros países), que tanto Alemania como Ucrania han experimentado recientemente. Al perturbar la tecnología en general (incluidos los sistemas VoIP), esperan crear problemas en todo el mundo, alterando el ritmo y el flujo de la vida. No importa que los sistemas sean para hospitales, escuelas y autoridades locales que simplemente intentan mejorar la vida de las personas.
Y luego tienes a las personas que pretenden romper sistemas sólo porque pueden. Suelen ser personas que se aburren, tienen interés en entrar en los sistemas y quieren ponerse a prueba. En los años 80 y 90, probablemente se les habría llamado phreakers (si estuvieran pirateando sistemas telefónicos físicos; por supuesto, hay todo un debate sobre la seguridad de VoIP frente a la de las líneas fijas). Ahora son simplemente piratas informáticos.
Normalmente, su objetivo es entrar en un sistema y volver a salir, tal vez con algunos datos aleatorios. Aunque no suelen causar demasiados daños, siempre es preocupante que una persona no autorizada acceda a tus cuentas.
¿Cómo se hace un sistema VoIP seguro?
Crea un sistema VoIP seguro con llamadas de voz (y vídeo y datos) cifradas, utiliza un sistema con MFA o 2FA, así como inicio de sesión único activado por defecto, y asegúrate de que permite la detección y supervisión de intrusos. Pero éstas son sólo el principio de las mejores prácticas de seguridad VoIP.
Cualquier sistema de seguridad PBX necesitará informes, salting y hashing de contraseñas, tráfico fuertemente encriptado de principio a fin y protección DoS.
Pero también es necesario formar al personal para que sepa cómo evitar las estafas comunes (y muchas menos comunes). Quienes pregunten «¿es segura la VoIP?» siempre obtendrán la respuesta «depende», y eso es porque depende del sistema y de la ética de la empresa. Las que tengan una buena formación mejorarán mucho su seguridad VoIP, y la respuesta a la pregunta «¿es segura la VoIP?» será «Sí». Los que no ofrezcan una buena formación pueden verse en problemas.
Cómo se benefician los MSP de los sistemas VoIP seguros
Los MSP y sus clientes necesitan una buena seguridad VoIP, sobre todo a medida que la VoIP se va generalizando (gracias a los múltiples cortes de cobre, la cuestión de la seguridad VoIP frente a la telefonía fija ya ni siquiera es relevante). Con un paquete de telefonía VoIP segura que incluya Wildix, pueden mantener a salvo a sus clientes y protegida su reputación. Al fin y al cabo, la brecha de 3CX fue un gran problema para los MSP porque, de repente, su reputación estaba en juego, y la brecha fue ampliamente difundida.
El problema clave es el hecho de que las soluciones baratas a menudo no están bien optimizadas para vencer a un hacker medianamente competente. Y las grandes empresas toscas que no se centran necesariamente en VoIP pueden no tener los mejores procesos a la hora de tapar agujeros en sus sistemas. Sin embargo, suelen tener más recursos para hacerlo que las soluciones baratas basadas en Asterisk.
En definitiva, la forma de garantizar una buena seguridad VoIP es utilizar una buena solución, como Wildix, que dé prioridad a la seguridad. De este modo, tu MSP está protegido, tus clientes están protegidos y tu reputación está protegida.
Para más información sobre tecnología y ciberseguridad, ¡suscríbete gratis a nuestra revista!