Está claro que la VoIP es el futuro de la integración de telefonía informática (CTI), y como la ciberseguridad es primordial, aprender sobre sus riesgos es más que recomendable.
Un sistema VoIP abre un nuevo mundo de posibilidades en lo que se refiere a funciones de sistemas telefónicos avanzados e integraciones de VoIP. De hecho, los sistemas telefónicos de VoIP son cada vez más populares gracias a su versatilidad, su flexibilidad y su fiabilidad. Y la cosa no se queda ahí. La tecnología VoIP es eficiente y rentable, lo que la hace mucho más atractiva.
La VoIP tiene una buena reputación, ya que es seguro y se adapta bien a todos los propósitos. Sin embargo, como siempre que se usa tecnología o internet, es necesario conocer los riesgos de seguridad a los que podría estar expuesto tu negocio y tomar las precauciones necesarias.
No hace falta ser un experto en TI para entender los riesgos de seguridad en VoIP, pero sí deberías tener un conocimiento básico de los problemas que podrían hacer que tu empresa sea vulnerable. Las buenas prácticas para paliar los riesgos de seguridad del VoIP involucran a tu infraestructura, a tu software y a tus empleados.
Quick links
¿Qué es un riesgo de seguridad de VoIP?
Empecemos por lo básico: el término VoIP significa voz sobre protocolo de internet. Es decir, un sistema telefónico VoIP transmite mensajes de voz por internet. Como cualquier cosa relacionada con la web, hay algunos riesgos que cabe tener en cuenta, especialmente en empresas donde cada vez hay más amenazas cibernéticas debido a la dependencia de ordenadores, software, redes de ordenadores y redes sociales.
¿Qué es un riesgo de seguridad de VoIP? Es la probabilidad de estar expuesto a un ciberataque o a filtraciones de datos a través de tu sistema telefónico VoIP.
La gestión de riesgos es una parte esencial de cada empresa. Un buen punto de partida para tratar los riesgos de un sistema telefónico VoIP (y otros sistemas de la compañía) es revisar el plan de gestión de riesgos e identificar dónde se pueden localizar los riesgos de seguridad de VoIP.
CyberObserver comparte algunas estadísticas recientes sobre la ciberseguridad:
Según Gartner, el gasto mundial en seguridad llegará a 133 700 millones de dólares en 2022
Cerca de un 68 % de las empresas está preocupado por los riesgos de ciberseguridad
Hubo 4100 mil millones de registros expuestos en la primera mitad de 2019 (RiskBased)
El 71 % de las fisuras está provocado por motivos económicos (Verizon)
El 25 % de las fisuras está provocado por motivos de espionaje (Verizon)
El 52 % de las filtraciones se produjo por hackeos; el 28 %, por malware; y cerca del 32 % por técnicas de phishing o ingeniería social (Verizon)
Como empresario, debería preocuparte la seguridad VoIP. La falta de seguridad puede tener un efecto negativo en las relaciones con los clientes y un daño para la marca si provocara una interrupción en tus servicios. Al aprender más sobre los problemas de seguridad de VoIP y sus soluciones, podrás tener un sistema de defensa implacable contra ellos.
Cómo entender los diferentes tipos de riesgos de VoIP
Uses el sistema telefónico que uses, siempre habrá riesgos de seguridad. La clave para hacerles frente es entender los diferentes tipos de riesgos y cómo pueden afectar a tu negocio.
Vishing (el phishing mediante llamadas)
El vishing es una práctica fraudulenta en la que alguien usa credenciales falsas para engañar a la persona a la que llama y conseguir información confidencial. Normalmente, los cibercriminales se harán pasar por una empresa de renombre, especialmente una de la banca o emisora de tarjetas de crédito. Este tipo de ataques resultan difíciles de mitigar, ya que su objetivo son los clientes en tu centralita VoIP y no tu propio sistema VoIP.
Denegación del servicio (DoS)
En este tipo de ataque, el hacker envía un aluvión de solicitudes SIP a tu sistema con el fin de utilizar todo el ancho de banda disponible y ralentizar o incluso interrumpir el servicio. Un ataque DoS puede provocar caídas en las llamadas o impedir que estas se realicen y se reciban. Asimismo, es posible que los hackers se hagan con el control de herramientas de administración del sistema de forma remota, lo que les permite tener acceso a información confidencial.
Escucha de llamadas
Una de las principales amenazas para los sistemas de VoIP es la escucha de llamadas. Los cibercriminales pueden interceptar la conversación, escucharla y usar la información extraída de ellas para cometer delitos de suplantación de la identidad.
Phreaking
Este tipo de riesgo puede provocar grandes gastos en la cuenta del sistema telefónico de la empresa, ya que los hackers entran el sistema del proveedor del servicio para añadir más crédito, cambiar los planes o hacer llamadas. En el phreaking también se aprovecha una fisura que permite a los hackers grabar las conversaciones para robar contraseñas de voz y acceder a registros financieros u otro tipo de información confidencial.
Cómo proteger tu sistema de VoIP de estos riesgos
Para proteger tu sistema de VoIP necesitas proteger la infraestructura VoIP en su totalidad, incluyendo los siguientes elementos:
SIP trunking
Sistema de VoIP
Centro de datos
Los controladores de bordes de sesión (SBC) funcionan como firewalls para tu sistema de VoIP y lo protegen de los ataques DoS mediante la creación de una conexión segura entre el proveedor del servicio y tú, lo que te da más control sobre las llamadas de VoIP y el tráfico de voz.
La clave para protegerte contra el phreaking es securizar los puntos finales tanto físicamente como de forma remota.
Todo esto es bastante técnico, pero no debes pasar por alto algunas técnicas fáciles para proteger tu sistema de VoIP, como formar a los empleados sobre los riesgos de ciberseguridad. Sin duda, formar a los empleados es la mejor forma de evitar la instalación de malware. Tus empleados deben ser capaces de identificar enlaces, archivos adjuntos y remitentes sospechosos, así que acuérdate de enseñar a los empleados que trabajan en remoto y a los equipos con miembros en diferentes ubicaciones sobre los riesgos de usar puntos wifi gratis con redes sin protección.
Sobre el cifrado de los datos de los clientes en VoIP
La tecnología de voz une la voz y los datos para ofrecer a las empresas una solución única. El cifrado de extremo a extremo hace que estas soluciones funcionen juntas y las hace fiables y fáciles de entender.
Estas son las formas de configurar el cifrado de la voz y los datos para evitar problemas como la escucha de llamadas:
Configurar la seguridad de la capa de transporte (TLS) para asegurar el tráfico de entrada y de salida entre los dos interlocutores de una llamada.
Usar el Secure Real-time Transport Protocol (SRTP) para cifrar los paquetes de datos que se transmiten durante las llamadas, algo que hace imposible que las personas ajenas a la llamada los descifren.
Las redes privadas virtuales (VPN) ofrecen un túnel cifrado y seguro en el que puedes transmitir y recibir datos con total seguridad.
Malware y seguridad en VoIP
«Malware» significa «software malicioso». En este tipo de ciberataques se incluyen troyanos, ransomware, spyware, gusanos informáticos y otros elementos que pueden dañar tus datos y dispositivos. Por ejemplo, los gusanos informáticos pueden pasar de un dispositivo a otro en una misma red y bloquear el sistema. En este caso, el interés de los criminales es puramente económico, por lo que piden una suma de dinero para desbloquear el sistema.
Los ataques con malware pueden producirse de varias maneras, y la cantidad de hackers que intentan hacerlos es inmensa. Los cibercriminales usan el malware para robar contraseñas, borrar archivos y limitar los ordenadores para que no funcionen. Además, el objetivo del malware no son solo los dispositivos sino también los sistemas de VoIP. Habitualmente, estos ataques se inician cuando un empleado abre sin querer un correo electrónico desde su ordenador, y acaban dañando los sistemas de VoIP y las plataformas de comunicación unificadas.
El 2020 Data Breach Investigations Report de Verizon demostró que el 34 % de los ataques a empresas implicó a trabajadores de esa misma empresa. ¿Y cómo pasa eso? RSConnect pone un ejemplo donde un pseudoempleado llevó a cabo una estafa en la que llamó a su helpdesk desde uno de los teléfonos de la compañía porque decía que no podía abrir un sitio web. La empresa ayudó al estafador a abrirlo, y luego, este empezó a descargar malware en los ordenadores del helpdesk.
Como advertencia, RSConnect indica que un estafador nunca abriría un correo electrónico infectado con malware. Un paso muy sencillo que se puede incluir en la monitorización del sistema es supervisar a empleados individuales que no abren correos electrónicos. Cualquier anomalía puede indicar un riesgo de seguridad.
Prácticas adecuadas para prevenir los riesgos de seguridad en VoIP
Ninguno de los métodos para prevenir los riesgos de seguridad en VoIP es sencillo, pero si sigues estos consejos, podrás prepararte de la mejor forma posible para alejar a los hackers.
Diez prácticas para prevenir los riesgos de seguridad en VoIP:
Revisar las prácticas de seguridad siempre que se hagan cambios o se añada algo en el sistema.
Estar al tanto de las últimas tendencias en riesgos de seguridad que puedan hacer que tu sistema sea vulnerable.
Usar contraseñas seguras en ordenadores, teléfonos móviles, tabletas y cualquier otro dispositivo que esté conectado a tu red.
Ofrecer una formación continua a los empleados sobre los tipos de riesgos y tus protocolos para prevenirlos. Esto es vital si tu empresa trata información confidencial.
Hacer un seguimiento del sistema en busca de actividades poco habituales. Cualquier cosa que se salga de lo normal podría ser una amenaza, así que actúa siempre que veas algo raro y no esperes a que todo se descontrole.
Asignar a alguien la responsabilidad de supervisar el sistema con frecuencia (preferiblemente alguien del departamento de TI).
Configurar la autenticación de cuentas. Cada ordenador tiene su propia dirección IP, que se usa para identificar los dispositivos que solicitan acceso a una red, por lo que puedes hacer que solo los agentes de tu centralita tengan acceso. Si tienes equipos en remoto o con miembros en diferentes ubicaciones, también puedes crear una lista negra de IP, en la que se pueden configurar parámetros para bloquear direcciones IP desde las que se han usado contraseñas incorrectas y bloquear usuarios después de cierto número de intentos fallidos.
Prepararse para el peor escenario. Por más que se tomen todas las medidas de seguridad posibles, siempre puede haber una crisis. Crear un plan de emergencia y enseñar a los empleados a actuar en estos casos es esencial, así que asegúrate de tener directrices para evitar que la situación empeore.
Contactar con el proveedor de VoIP de forma inmediata si hay alguna incidencia. Normalmente pueden hacerse cargo de los problemas de seguridad y restablecer el control sin que tengas que hacer nada por tu parte.
Escoge un proveedor de VoIP que sea conocido por su seguridad y fiabilidad.
Aircall y la seguridad VoIP
En Aircall comprendemos la importancia de la seguridad VoIP, por eso ciframos todos los datos, los almacenamos en centros de última generación y los supervisamos las 24 horas. Además, contamos con equipos independientes integrados por profesionales que llevan a cabo pruebas de penetración para reforzar la seguridad.
También configuramos la protección adecuada para que los datos de los clientes estén a salvo de ataques o personas no autorizadas. No dejamos ningún cabo suelto. Asimismo, seguimos las recomendaciones de varios marcos de seguridad de la información, como ISO 27001/27002, SOC 2 y PCI/DSS, y contamos con una infraestructura secundaria que garantiza la seguridad de los datos de los clientes y la recuperación ante una catástrofe. Las llamadas hechas con el protocolo SIP también se pueden cifrar con TLS, y nunca almacenamos contraseñas ni datos de las tarjetas de crédito de los clientes por motivos internos.
Supervisar tu sistema de VoIP y proteger los datos de tus clientes es una obligación. En definitiva, Aircall no solo es un líder de la industria porque cumple con todas las prácticas recomendadas en seguridad VoIP; también lo es porque ofrece una amplia variedad de funciones para sistemas telefónicos basados en la nube y una API pública.
Publicado el 9 de diciembre de 2021.