Lectura en 5 minutos | 14/01/2021

Cómo evitar los principales riesgos de seguridad VoIP

VoIP phone service background
Servicios VoIP

Cuando VoIP se lanzó por primera vez, pocas personas estaban preocupadas por la seguridad. Los líderes de TI estaban, con razón, más interesados en la fiabilidad de audio, la confianza y el coste. Pero el mundo de los negocios y la tecnología ha cambiado desde entonces. Con los incidentes de seguridad de datos aumentando en todos los ámbitos, los CTO (Chief Technical Officer) no pueden permitirse el lujo de ignorar la seguridad por más tiempo. Un ataque grave puede afectar todos los aspectos de tu empresa, costarte millones de dólares su reparación y tardar mucho tiempo en recuperarse.

Cybersecurity Ventures estima que el coste del cibercrimen superará los 6 billones de dólares para 2021 y los 10,5 billones para 2025. Aunque esto incluye principalmente incidentes de ciberseguridad relacionados con sistemas digitales como el correo electrónico y la gestión de datos, los sistemas de VoIP también son vulnerables a la ciberdelincuencia. Cualquier sistema que utilice la red de Internet pública es vulnerable a los ataques de seguridad y tus líneas telefónicas no son una excepción.

Seguridad VoIP

La seguridad de red es parte de tus responsabilidades como CTO. Entonces, ¿deberías estar preocupado por la seguridad de VoIP? Las llamadas VoIP utilizan tu dirección IP, por lo que una vulnerabilidad aquí puede poner en riesgo todos tus datos y sistemas. No tiene mucho sentido proteger tu red de datos y servidores, solo para dejar el sistema VoIP abierto a amenazas de seguridad.

Al contrario de la creencia popular, las empresas de tecnología y sitios web de comercio electrónico no son las únicas víctimas. Los proveedores financieros, educativos y de atención médica también son frecuentemente dirigidos a través de tus sistemas VoIP. Los líderes de TI no tienen que preocuparse por los detalles, pero deben ser consciente de los riesgos y cómo evitarlos para tu organización. El objetivo aquí es hacer que el coste del ataque sea mayor que el valor de hacerlo.

1. Ataques de denegación de servicio

Un ataque de denegación de servicio es cuando los hackers consumen todo el ancho de banda, sobrecargando con solicitudes de usuario falsas. El servicio se apagará eventualmente cuando no pueda hacer frente a la sobrecarga.

El servicio puede ser cualquier cosa: un sitio web, el servicio telefónico VoIP o un servidor de correo electrónico. Tampoco requiere mucho conocimiento o experiencia para lograrlo. Incluso si tus teléfonos no se apagan, la calidad de audio se deteriorará, las llamadas no funcionarán y los clientes tendrán una mala experiencia.

¿Qué puedes hacer para mitigar un ataque de denegación de servicio? Una idea es separar la comunicación de datos y la de voz. También puedes utilizar la encriptación y ordenar el uso de una VPN por parte de todos los empleados para mantener el sistema seguro. Si tienes los recursos suficientes, puedes incluso usar una conexión de Internet dedicada específicamente para el sistema de telefonía VoIP. Aunque es caro, te permite evitar que los problemas de un sistema afecten a otros aspectos de tu negocio.

2. Robo de servicio VoIP

Como CTO, debes ser consciente de las posibles consecuencias de una infracción de seguridad. Los atacantes pueden robar datos confidenciales, como información de tarjetas de crédito o documentos de patente. Puedes pensar que esto no es un gran riesgo con los teléfonos, ya que no hay nada que robar en ellos. Pero lo hay.

Una vez que los atacantes irrumpen en tu sistema telefónico VoIP, pueden hacer cualquier cosa de forma gratuita y hacerte pagar las facturas. Pueden hacer llamadas internacionales a números premium acumulando facturas enormes durante un solo fin de semana. Pueden robar información de facturación y usarla para pagar otros servicios costosos.

Proteger tus sistemas del robo de servicios VoIP requiere varias medidas, incluyendo el uso de contraseñas seguras, limitar el acceso solo a aquellos trabajadores que lo necesiten y actualizar todo tu software.

3. Malware

Al igual que cualquier otra aplicación o servicio basado en Internet, tus teléfonos y software VoIP son vulnerables a todo tipo de malware. Si tu organización utiliza softphones en dispositivos móviles y ordenadores, podría verse afectada por un ataque de malware. Los hackers pueden atacar los teléfonos o tu sistema podría quedar inutilizado como efecto secundario de algún otro virus o troyano.

Afortunadamente, no necesitas ninguna herramienta o medida especial para proteger tu red telefónica.  Los métodos existentes, como el uso de cortafuegos, la monitorización del tráfico y el software antivirus son excelentes formas de proteger los teléfonos. También puedes comprar hardware de red que bloquee el malware y evite el acceso a sitios web maliciosos.

4. “Ataques de intermediario”

Los “ataques de intermediario” son más sofisticados e innovadores que el uso de otros ataques de seguridad. Los hackers pueden tardar semanas o incluso meses en investigar una organización y el sistema telefónico antes de atacar. Por lo general, implica el uso de herramientas personalizadas y sitios web que imitan el software real. Los hackers engañan a tus empleados o clientes para que introduzcan datos confidenciales, como contraseñas en el sitio web falso y capturen esa información.

Estos ataques son más difíciles de configurar, pero la recompensa puede ser enorme. La medida de protección más efectiva es entrenar al personal para detectar inconsistencias en los correos electrónicos, enlaces y medios sociales. Educarles sobre cuándo y dónde es apropiado dar datos sensibles. Mejor aún, limitar el acceso a los datos sensibles según sea necesario. Los empleados no pueden revelar accidentalmente información que no tienen en primer lugar.

5. Vishing y suplantación de identidad

Vishing y la suplantación de identidad generalmente van de la mano. Imagina que uno de tus agentes de servicio recibe una llamada de tu departamento de TI pidiéndoles que vayan a un enlace y actualicen su contraseña. El personal revisa si el número de teléfono le es familiar y decide seguir las instrucciones. El autor de la llamada también puede tener otros datos en el agente, como su ID de empleado, para que la llamada parezca legítima.

Un gerente o supervisor puede incluso recibir llamadas que pretenden ser de recursos humanos, departamento de contabilidad o una agencia gubernamental. La persona que llama les pide que borren las cuotas pendientes o envíen registros de empleados para una auditoría, etc. El Vishing puede ser difícil de contrarrestar, ya que la suplantación de identidad no necesita mucho equipo para ponerse en marcha. Los hackers utilizan números y servicios fuera de su país para que no pueda rastrear el origen.

Lo que puedes hacer es verificar las solicitudes telefónicas y asegurarte de que las solicitudes entrantes son válidas, similares a los filtros de spam. Educar a los empleados sobre las políticas de la empresa que deben especificar que al personal no se le pedirá información sensible por teléfono. Entrena a los agentes de primera línea para que pidan un número de contacto y, a continuación, vuelvan a llamar como una capa adicional de seguridad.

6. Espionaje

El espionaje también es un riesgo real asociado con los sistemas telefónicos VoIP. Las empresas transmiten una gran cantidad de información sensible por teléfono. Un agente puede pedir a los clientes su dirección y datos de tarjeta de crédito. Un vendedor puede confirmar verbalmente los detalles del contrato con un cliente. Imagina si los atacantes pudieran capturar llamadas telefónicas y obtener acceso a todos esos datos.

¿Qué puedes hacer para evitar escuchas en tu red telefónica? Una cosa que puedes hacer es asegurarse de que las llamadas estén cifradas de extremo a extremo. Esto significa que incluso si un hacker registra llamadas o irrumpe en el sistema, no pueden descifrarlo. Si estás buscando un proveedor de servicios VoIP, asegúrate de que ofrecen cifrado antes de registrarte en el servicio.

7. Manipulación de llamadas

La manipulación de llamadas ocurre cuando un hacker quiere causar problemas a tu sistema telefónico. Envían grandes paquetes de datos a través de la red, ralentizando las cosas. Conduce a llamadas caídas y calidad de audio degradada. Los delincuentes también pueden:

  • Cambiar las contraseñas bloqueando a los usuarios legítimos.
  • Editar las listas de autorización para que los empleados no puedan usar los teléfonos.
  • Desviar llamadas a números externos.
  • Deshabilitar las funciones necesarias o añadir servicios premium.

Los líderes de IT a menudo consideran la manipulación de llamadas como una molestia menor, pero puede conducir a consecuencias graves. Las medidas de seguridad básicas, como el cambio frecuente de contraseñas, el uso de contraseñas largas y seguras, así como la supervisión del sistema telefónico, pueden ayudarte a identificar y mitigar las consecuencias rápidamente.

8. Spam de audio

Todo el mundo está familiarizado con el spam de correo electrónico. Obstruye las bandejas de entrada de la empresa y a menudo contiene enlaces maliciosos, virus y solicitudes no deseadas. El spam sobre la telefonía IP (llamado SPIT) es similar. Los hackers enviarán mensajes grabados a tus números de teléfono. Son ampliamente vistos como una molestia, pero pueden bloquear tu sistema por lo que los usuarios legítimos no pueden acceder a él. Al igual que el spam de correo electrónico, SPIT también puede acompañar malware, virus y enlaces fraudulentos.

Es posible que no puedas detener el spam de audio por completo, pero puedes usar firewalls para asegurarte de que menos mensajes viajan a través de la red. Los programas de formación  y concienciación también destacan este riesgo de seguridad, para que los empleados sepan qué tener en cuenta.

Reducir los riesgos de VoIP

Es posible que hayas notado un tema común hasta ahora. La fuente más común de riesgos de seguridad VoIP son los agentes humanos. En la misma línea, tus empleados son la forma más fácil de detectar y prevenir las brechas de seguridad. Las mejores prácticas generales para garantizar la seguridad de los datos también ayudarán mucho a proteger tus sistemas telefónicos. Algunas maneras de proteger tus sistemas digitales son:

  • Educación, concienciación y formación. Asegúrate de que tu personal sepa cómo detectar los riesgos de seguridad e informe al equipo adecuado.
  • Actualiza tus políticas de IT cuando se identifiquen nuevos riesgos de seguridad. Realiza cambios con frecuencia, especialmente cuando vea que algo no funciona correctamente.
  • Asegúrate de que el hardware y el software estén actualizados y protegidos con las herramientas de seguridad necesarias. El software obsoleto es la razón de muchos incidentes de seguridad.
  • Supervisa tus sistemas en busca de actividad inusual, como el alto tráfico los fines de semana, los flujos de datos sospechosos a través de las fronteras del país y los nuevos usuarios que inician sesión. Cuanto más rápido encuentres la brecha, mejor podrás contener las consecuencias.
¿Listo para empezar con VoIPstudio?

Empieza ahora una prueba gratuita de 30 días. No necesitas darnos tu tarjeta ni datos bancarios.

Miles de empresas en todo el mundo confían en VoIPstudio sus comunicaciones críticas. ¿Quieres unirte a ellas?

Miles de empresas en todo el mundo confían en VoIPstudio sus comunicaciones críticas. ¿Quieres unirte a ellas?

Prueba ahora 30 días. Sin tarjetas ni datos bancarios.