Los agujeros de seguridad de Yealink demuestran que la seguridad UCC importa
Para bien o para mal, casi todos nos hemos acostumbrado ya a la recopilación de nuestros datos. Desde las cookies en las páginas web al seguimiento de los términos de búsqueda, nuestra actividad en internet siempre está monitorizada de una forma u otra y hemos llegado a un punto en que la aceptación general valida esta práctica sin mucha reflexión.
Dicho esto, por mucho que estamos habituados a ese nivel de seguimiento digital, nos choca profundamente saber que en los sistemas de telefonía empresarial se produce un seguimiento similar. Después de todo, es muy poco habitual que los teléfonos fijos recopilen nuestros datos, principalmente porque, para la mayoría de las empresas, las llamadas de voz contienen valiosa información confidencial.
Entonces, ¿qué ocurre si sospechas que tu sistema de telefonía tiene la capacidad de escuchar activamente lo que dices?
O peor aún, ¿qué ocurre si no sabes quién está poniendo la oreja al otro lado del auricular?
Problemas de seguridad en Yealink
Estas cuestiones son especialmente relevantes para los responsables de las empresas que se han visto afectadas por la grave revelación que afecta a los teléfonos del proveedor chino Yealink y especialmente a sus equipos T54W, que ha despertado mucha preocupación sobre la privacidad y la seguridad del hardware de esta empresa.
El 28 de septiembre del año pasado, el Senador estadounidense Chris Van Hollen (D-Md) envió una carta al Departamento de Comercio de EE UU comunicando un informe realizado por la consultora Chain Security. En dicho informe, Chain Security observó numerosos fallos de seguridad en los dispositivos Yealink, junto a varias funciones que parecen estar recopilando intencionadamente los datos de los usuarios.
Y hay algo más preocupante: el informe de Chain Security concluyó que es “altamente probable” que Yealink esté compartiendo información de sus clientes directamente con el gobierno chino, especialmente a través de su hardware.
Esta recogida de datos se produciría principalmente gracias al modo en que los teléfonos Yealink interactúan con las redes y los PC de la empresa. En concreto, los equipos Yealink utilizan una plataforma de administración de dispositivos (DMP) para conectarse a los programas que se ejecutan en el ordenador. En casi todos los casos, esto sería completamente normal para la amplia mayoría del hardware VoIP que se conecta a un sistema basado en el PC.
Lo que ya no es tan normal (al contrario, es más bien alarmante) es que la DMP de Yealink sea capaz de grabar llamadas de voz e incluso de rastrear el historial web en un PC conectado sin que el usuario lo sepa.
Componentes con capacidad para fisgonear
Según el informe de Chain Security, el DMP de Yealink “recopila y conserva la IP WAN” del equipo del usuario y puede registrar todo el tráfico web de los equipos que tiene conectados. Esto se suma a que la DMP recopila grabaciones de llamadas realizadas en el teléfono o en los dispositivos conectados al teléfono.
Vale la pena insistir en todo esto, especialmente porque la DMP de Yealink puede ser operada por un empleado de Yealink a distancia, que además puede usar la plataforma para acceder a los datos recogidos (la dirección IP, el tráfico web y todas las llamadas grabadas).
Y la preocupación no acaba aquí: usando el DMP de Yealink, los empleados remotos de Yealink pueden activar cuando quieran la grabación de una llamada activa y conservar la grabación.
No parece que Yealink utilice este acceso de forma puntual. Chain Security también apunta que durante la “actividad normal”, los teléfonos de Yealink se comunican con los servidores AliCloud, bajo control chino, sugiriendo un control e interceptación potencial como el que hemos apuntado en párrafos anteriores.
Haciendo una analogía, tal vez no veamos la llama, pero la actividad de supervisión combinada con el contacto con el servidor sin duda emite un montón de humo. (Y aún resulta más sospechoso si consideramos los estrechos y permanentes vínculos de Yealink con el gobierno chino y el hecho de que compartan datos continuamente con las autoridades, según recoge Chain Security).
La preocupación por la seguridad no se queda aquí
Más allá de estos problemas, los equipos Yealink en cuestión parecen tener evidentes defectos de seguridad que pueden comprometer todo un servidor de una empresa.
Chain Security destaca que los teléfonos de Yealink están “preconfigurados para aceptar credenciales de conexión y acceso al dispositivo de 187 autoridades de certificación digital ‘fiables’”. En otras palabras: sin que el usuario sea consciente de ello, los equipos de Yealink pueden ser accesibles para una enorme cantidad de entidades adicionales, por lo que si alguna de ellas lo considera, podrá entrar fácilmente a las redes de los usuarios finales de Yealink.
Es más, ni siquiera es necesario que los hackers sean una autoridad “fiable”. El acceso desconocido al equipo queda abierto por su incapacidad de proteger frente a intentos de inicio de sesión de fuerza bruta, por lo que los hackers son perfectamente capaces de acceder simplemente adivinando la combinación de nombre de usuario y contraseña.
Como si todo esto no fuera bastante grave, los dispositivos de Yealink no cuentan con las firmas digitales habituales en el sector para autenticar los cambios en el firmware. En consecuencia, si actores externos consiguen acceder a los teléfonos, instantáneamente podrán modificar el software siempre y cuando el nuevo firmware sea compatible con el hardware.
En otras palabras, esto implica que un hacker puede instalar firmware que controla no solo lo que se graba en el teléfono Yealink (usando la recogida de datos como ya hemos expuesto), sino que también accede a la actividad de toda la red de la empresa.
El balance final de los equipos Yealink
Todo esto nos deja con un teléfono que puede grabar llamadas, direcciones IP y actividad web (en cualquier momento y sin que el usuario final lo sepa) y compartir estos datos con terceros.
Aunque es sencillo e incluso natural asumir que los datos acabarán en Yealink o incluso en el gobierno chino, es igual de posible que agentes completamente desconocidos puedan aprovechar la vulnerabilidad de estos teléfonos para sus propios fines. En cualquier caso, el resultado es cualquier cosa menos deseable para las empresas.
Según todos los indicios, incluso en una época en la que la recogida de datos es algo que se da por descontado, la arquitectura de seguridad de los teléfonos de Yealink permite un grado de vigilancia muy por encima de lo que cualquier empresa está dispuesta a soportar.
Lecciones aprendidas
Todo esto constituye una seria advertencia para cualquier interesado en los teléfonos Yealink, pero también podemos sacar conclusiones más amplias en materia de seguridad.
En primer lugar, cabe insistir en que usar este ejemplo para desconfiar de todos los productos de hardware de origen chino sería ridículo. Después de todo, una enorme cantidad de dispositivos se fabrican en China y no presentan ninguno de estos problemas.
El problema serio en realidad es una cuestión de seguridad y confianza en general. Como muestra este ejemplo, el hardware de comunicación tiene un potencial increíble para inmiscuirse en tu privacidad, hasta el punto de actuar como un dispositivo de vigilancia encubierto justo encima de tu mesa de trabajo.
Para mantenerte seguro es fundamental que puedas confiar en tu proveedor de dispositivos VoIP. El proveedor tiene que ser capaz de demostrar que cuenta con medidas de seguridad efectivas y además que mantiene una sólida voluntad de renunciar a controlar los dispositivos, sin perjuicio de la instalación de las actualizaciones necesarias, siempre con tu conocimiento.
Al valorar un nuevo proveedor, hay un montón de preguntas importantes que puedes hacerte. Por ejemplo, ¿cuánto te cuenta tu proveedor sobre los parámetros de seguridad que tiene su hardware? ¿Qué papel juega el proveedor en la gestión del dispositivo una vez te lo ha vendido? ¿Qué vínculos tiene tu proveedor con otras entidades que pueden desear tu información comercial?
Por encima de todo, si un proveedor mantiene, por ejemplo, un acceso permanente a la DMP, mejor que estés atento. La posibilidad de ejercer un control a distancia de esta forma seguro que implica un pobre diseño de seguridad en el mejor de los casos o un intento activo de fisgonear tus datos en el peor escenario.
Para mantener la seguridad de tu empresa, es esencial valorar estos factores con la misma importancia que otorgas a otros aspectos de la seguridad. Si no puedes confiar en que tu proveedor protege tu privacidad, ¿vale la pena que sea tu socio tecnológico? Si además es evidente que está compartiendo datos con un gobierno activo en la guerra de la información, la situación se vuelve mucho más problemática.
Al ponderar tus opciones de hardware, no pienses solo en la seguridad en términos generales. Igual de vital es tener en cuenta cuánta confianza puedes depositar en tu proveedor a la hora de mantener tu seguridad (o, más importante aún, si el propio proveedor es una amenaza potencial para la seguridad).
Para ver cómo Wildix implementa la seguridad en los sistemas UCC, consulta nuestra guía gratuita.
Para recibir más actualizaciones de seguridad en el sector UCC, ¡suscríbete y recibe gratis nuestro magazine!