Mientras que para ahorrar costos el mundo de los negocios abraza rápidamente la tecnologÃa VoIP (Voice-over-Internet Protocol), poca atención están dando a los nuevos peligros que se introducen en nuestras redes telefónicas.
Desde simples ataques de “negación-de-servicio”, donde una empresa o un individuo quedan impedidos de usar el teléfono, a sofisticados secuestros de números telefónicos que pueden redireccionar llamadas a piratas informáticos, estas nuevas amenazas alteran radicalmente la manera que se percibe al teléfono común.
Aunque si bien Skype, con sus millones de usuarios, es la cara pública de VoIP, la mayorÃa del uso del protocolo de voz sobre Internet, está menos orientado al consumidor, y es mucho menos atractivo.
Muchos negocios están actualmente sustituyendo o analizando sustituir, su infraestructura de telefonÃa interna para recortar costos. Incluso las compañÃas de telecomunicaciones, aunque aterrorizadas de lo que hará VoIP al flujo de réditos, están transfiriendo con impaciencia mucho de su tráfico de red telefónica conmutada (PSTN o Public Switched Telephone Network), espina dorsal de la red pública de teléfonos, a la tecnologÃa VoIP.
Pero casi todos estos nuevos despliegues de VoIP están ocurriendo sin la debida atención al tema de la seguridad, lo que podrÃa afectar seriamente a estas compañÃas y a los consumidores.
Los verdaderos costos del VoIP -la exposición creciente a serios riesgos en la seguridad- pueden empequeñecer los ahorros ganados al reducir los cargos de las llamadas.
Aunque algunos empresarios pueden sentir que ellos no están expuestos porque todavÃa no han adoptado la tecnologÃa VoIP, o porque no están conectados directamente con Internet o con la red pública conmutada, en realidad sà están en riesgo a muchos ataques silenciosos de “VoIPhreaking”, igual que el resto de nosotros.
VoIPhreaking es en Internet el hermano moderno, más joven, del tradicional “phreaking”, que es el término usado para las acciones de hackear, explorar y explotar la infraestructura telefónica convencional (PSTN), a los efectos de realizar llamadas telefónicas gratuitas, robándole dinero a las compañÃas telefónicas.
Desde los dÃas de Captain Crunch y de Steve Jobs, que explotaban señales inband (llamadas telefónicas controladas vÃa tonos audibles) para conseguir llamadas gratuitas, las compañÃas telefónicas han trabajado duramente para reducir las vulnerabilidades en sus redes.
Si bien sus motivos eran conseguir beneficios -la reducción de fraude en las llamadas aumenta los réditos- el resultado ha sido una red de telefonÃa global relativamente estable y confiable.
Pero todo esto ahora está cambiando, pues Internet y PSTN están convergiendo sin que se preste ninguna atención para asegurar las interconexiones. Un hecho del cual los piratas informáticos están extremadamente conscientes y ya están explotando activamente.
Explotar la telefonÃa convencional vÃa VoIPhreaking, proporciona una abundancia de vectores potenciales de ataques, permitiendo múltiples y diferentes resultados que evitan o derriban las caracterÃsticas confiables del sistema telefónico.
Los ataques básicos incluyen varias técnicas de fraude, permitiendo a VoIPhreakers hacer llamadas telefónicas gratuitas a expensas de las compañÃas de telecomunicaciones.
Ataques más avanzados permiten que los piratas informáticos controlen totalmente las conexiones telefónicas, incluyendo por ejemplo los datos usados por los identificadores de llamadas (Caller-ID). Esta información se utiliza con frecuencia para la autentificación de las casillas de mensajes de voz, tarjetas de crédito, y en algunos paÃses, incluso para pagar facturas de servicio público.
Un phisher también podrÃa utilizar los controles de una central telefónica dentro de la red para redireccionar llamadas a través de un servidor tomado. Y no es justamente la iniciación de una llamada telefónica el punto vulnerable; es después de que una llamada está en progreso que un VoIPhreaker puede causar mucho daño.
Para un pirata informático es trivial escuchar disimuladamente el tráfico interno de voz dentro de la red. Ahora esto puede ser particularmente devastador en una central telefónica.
El escuchar disimuladamente una llamada no es tampoco la única preocupación, puesto que la tecnologÃa usada para VoIP permite que los atacantes inyecten fácilmente nuevo contenido en una llamada telefónica existente.
Por ejemplo, un phisher podrÃa utilizar este ataque para asegurarse de que la información deseada sea proporcionada durante una llamada telefónica, tal como inyectar un mensaje de voz instruyendo al cliente mientras está en espera: “Por favor marque su número de cuenta y contraseña para un servicio más rápido. Su llamada es importante para nosotros.”
Ya existen herramientas disponibles en Internet, que proporcionan la capacidad para estos ataques, y es solamente cuestión de tiempo, antes de que se empaqueten para los atacantes menos expertos y asà se conviertan en algo común.
Pero lo realmente alarmante no es justamente que los ataques sean posibles, sino que si esos ataques están ocurriendo ya, nadie podrÃa saberlo debido a la poca seguridad en la mayorÃa de los despliegues de VoIP.
Relacionados:
No descuidemos la seguridad en los sistemas VoIP
http://www.vsantivirus.com/04-12-04.htm
“Crackean” el protocolo de Skype (Mercè Molist)
http://www.vsantivirus.com/mm-skype-cracked.htm
Más información:
New VoIP threats to listen for
http://star-techcentral.com/tech/story.asp?file=/2006/9/7/corpit/15333292&sec=corpit
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com