Estimados entusiastas del blog VoIP.ms, a continuación, encontrarán un artículo de blog invitado de uno de nuestros últimos socios: Wildix, un sólido proveedor de soluciones de comunicaciones unificadas y colaboración.
En las comunicaciones unificadas y la colaboración (UC&C), simplemente no hay que exagerar la importancia de la seguridad. Como corazón palpitante de los procesos de comunicación de una empresa, un sistema UC&C constituye un objetivo tentador para los agentes maliciosos que buscan datos para utilizarlos de forma ilícita. Si estas comunicaciones en línea quedan desprotegidas, las empresas corren el riesgo de dar a los piratas informáticos desde conversaciones internas hasta información financiera descarada; los proveedores de servicios gestionados (MSP), por su parte, se arriesgan a enfrentarse a un cliente furioso que, en el mejor de los casos, exigirá mejoras o, en el peor, tratará de señalar con el dedo.
Por supuesto, en la mayoría de los casos, proporcionar seguridad a un sistema UC&C es más fácil de decir que de hacer. No se trata sólo de que la implementación de la seguridad sea difícil (aunque sin duda es un factor a tener en cuenta), sino también de que, con demasiada frecuencia, la seguridad va en contra de la usabilidad de los sistemas UC&C y merma los aspectos positivos iniciales. Cuando se implementan a través de plugins adicionales o programas externos, las protecciones del sistema suelen añadir volumen a la infraestructura general de una plataforma UC&C, lo que a su vez dificulta la velocidad y accesibilidad del sistema en general. Como resultado, es fácil que los usuarios finales se sientan insatisfechos con la solución en su conjunto, a pesar de las buenas intenciones que hay detrás de la incorporación de esos complementos.
Todo esto hace que sea difícil presentar a los usuarios finales una solución de comunicaciones atractiva: ¿por qué les va a merecer la pena comprar su oferta, y mucho menos utilizarla a largo plazo, si acaba funcionando con lentitud o su uso resulta poco intuitivo? Incluso en el caso de que las empresas compren y se queden con uno de estos sistemas con una seguridad onerosa y añadida, es probable que los problemas persistan, ya que los usuarios se verán animados a desactivar o sortear las medidas de seguridad para conseguir una experiencia más fluida.
Con todos estos factores que pesan a la hora de implementar la seguridad, ¿cómo puede un MSP añadirla a su oferta sin incomodar abiertamente a su cliente? La respuesta es tan sencilla como irónica: no deberían añadir seguridad en absoluto.
Más bien, la clave para una seguridad eficaz es establecerla en el nivel fundacional del sistema, incorporando componentes clave como el cifrado y las conexiones peer-to-peer como parte del mismo trabajo de base que enruta las llamadas VoIP y transfiere las videoconferencias.
Los problemas de la seguridad externa
Como ya se ha dicho, cuando la seguridad se implementa como algún tipo de complemento externo, suelen surgir problemas.
Por «complementos externos» nos referimos a componentes como soluciones antimalware, SBC externos o VPN, las respuestas habituales que los consumidores tienen en mente cuando abordan la vieja cuestión de la seguridad del sistema. Estos métodos son tan conocidos y utilizados porque representan un antiguo estándar de seguridad informática, en el que las capas protectoras protegen un sistema de las amenazas externas. El antimalware ahuyenta las amenazas antes de que lleguen al sistema; las VPN crean un túnel privado de una red para comunicarse dentro de ella; los cortafuegos sirven como otra frontera que mantiene a los malos actores fuera del sistema; y así sucesivamente.
Lo que este estándar de seguridad oculta, sin embargo, es el hecho de que la adición de capa tras capa externa a un sistema no puede venir sin un impacto significativo en la usabilidad. Por ejemplo, una VPN suele consumir ancho de banda adicional al crear su túnel virtual, lo que ralentiza las redes (el código G.729, por ejemplo, consume hasta el doble de la red normal). Además, tener que iniciar sesión en la VPN para poder utilizarla puede convertirse en un inconveniente, cuando no en un auténtico quebradero de cabeza. Los requisitos adicionales de inicio de sesión obstaculizan de forma inherente el uso intuitivo de un sistema de comunicaciones. Si un empleado simplemente quiere abrir su portátil y trabajar un día, quizás mientras está en su casa, ese inicio de sesión adicional a través de la VPN será sin duda un trago amargo.
Los SBC y sistemas similares de cortafuegos externos, aunque menos atroces en este sentido que las VPN, también convierten por su propia naturaleza un sistema de comunicaciones unificadas en una bestia más difícil de manejar. Aunque no consumen ancho de banda y probablemente no obliguen a los usuarios a iniciar sesión adicional, los SBC, antimalware y cortafuegos funcionan intrínsecamente fuera del control de la plataforma UCC principal, lo que significa que su configuración y mantenimiento serán siempre adicionales a los del propio sistema UCC. Si estos sistemas no se actualizan, no se conectan adecuadamente o incluso tienen algún fallo dentro de su propio código, no sólo se pone en peligro la seguridad de ese sistema de comunicaciones independiente, sino que los signos de una posible brecha probablemente no serán evidentes desde dentro del propio sistema. Ni que decir tiene que esto difícilmente puede calificarse de seguridad «total».
Incluso desde el punto de vista de la seguridad, estas metodologías dejan mucho que desear. Estos modelos externos aplican lo que podríamos llamar el enfoque de «ciudad amurallada» a la seguridad: al alejar el tráfico o bloquear a los visitantes no deseados, las VPN, los SBC y sus programas comparables son como barricadas alrededor de una ciudad. Pero lo que este planteamiento no tiene en cuenta es si esos muros son traspasados. Supongamos que un pirata informático rompe el cortafuegos, o que se filtra la contraseña de la VPN, o que se salta el SBC: ¿qué medidas hay entonces para detener los ataques? Si esas medidas externas son todo lo que se ha puesto en marcha, la respuesta es que no hay absolutamente nada que detenga la propagación del ataque; romper esa armadura externa significa que el sistema está listo para la cosecha.
Considere también que esto está lejos de ser una mera hipótesis. Además de los problemas muy reales descritos con los SBC externos, los cortafuegos pueden ser eludidos simplemente como resultado de factores externos adicionales. Por otro lado, las VPN han tenido sus propios problemas, con las alarmantemente frecuentes fugas de contraseñas de los proveedores de VPN que causan daños reales a los sistemas que estaban destinados a proteger. Por mucho que estas filtraciones específicas y violaciones del sistema puedan solucionarse con actualizaciones y correcciones, los hackers son totalmente capaces de adelantarse a esos parches para colarse de nuevo.
En términos de aplicación de la seguridad, es francamente ineficaz considerar todo el proceso sólo fortificando el exterior; no sólo abre la puerta a accidentes causados por una aplicación ineficaz o un error del usuario, sino que también crea un sistema en el que una sola grieta en la armadura de la solución es suficiente para que toda la red se vea comprometida. Y no hace falta decir que si un usuario final se convierte en víctima de este tipo de ataque, la primera persona a la que culpará será a su MSP.
Para construir una relación comercial duradera, y hacerlo con menos trabajo y mantenimiento, la seguridad de cualquier plataforma UCC debe construirse desde cero, incorporada al sistema a un nivel fundamental.
Convertirse en «seguro por diseño»
La alternativa a este modelo descrito anteriormente es uno que incluya la seguridad de forma inherente en su propio sistema. Utilizando la tecnología actual, una solución UCC puede construirse fácilmente con una arquitectura que sea «segura por diseño», es decir, totalmente protegida contra amenazas externas sin depender de tecnologías o programas externos que aumenten la carga de trabajo de gestión de un MSP.
Esta filosofía de diseño se puede conseguir incorporando las siguientes cualidades al diseño central del sistema UCC:
- Requisitos de contraseñas complejas y almacenamiento seguro
- Protección DDoS
- Comunicaciones cifradas
- Arquitectura WebRTC
- Capacidades de supervisión del sistema
Las contraseñas son, por supuesto, una parte integral de cualquier sistema, y exigen el máximo cuidado y protección. Como tal, cualquier sistema UCC tendrá que garantizar que todas las contraseñas de los usuarios sean difíciles de adivinar y se almacenen de forma segura: lo primero mediante la aplicación de estrictos requisitos de creación de contraseñas, lo segundo mediante la protección de los archivos de contraseñas con el algoritmo SHA512 y criptografía de sal. Añadir opciones para la autenticación de dos factores y el inicio de sesión único también aumentará la seguridad al permitir a los usuarios aumentar la complejidad de su proceso de inicio de sesión.
La protección DDoS también puede lograrse a través del funcionamiento interno del sistema, en parte trabajando en tándem con la protección contra los intentos de fuerza bruta para adivinar contraseñas: bloqueando las direcciones IP que intentan múltiples inicios de sesión, el sistema mantendrá alejados a aquellos que intentan adivinar innumerables contraseñas tanto para acceder ilícitamente a cuentas como para colapsar el sistema por uso excesivo. Estas medidas de bloqueo también deberían funcionar naturalmente junto con las disposiciones para bloquear el tráfico excesivo transmitido desde una única dirección IP. Este método es una forma sencilla para los actores maliciosos de apagar una centralita sin tener que entrar en absoluto.
Sin embargo, quizás el núcleo de la metodología de diseño seguro sea la práctica del cifrado, que en muchos aspectos puede sustituir a las VPN y a las SBC externas. Simplemente utilizando protocolos TLS actualizados junto con SRTP, las conversaciones establecidas entre dos partes se codifican tan minuciosamente que, incluso en el caso de que un hacker irrumpa en la red o intercepte las comunicaciones, los datos en sí serán prácticamente indescifrables. Sólo con esta medida, los datos transferidos a través del sistema UCC se mantendrán seguros automáticamente, aumentando drásticamente la seguridad de la solución sin requerir ninguna configuración o mantenimiento adicional por parte del MSP o incluso del usuario final.
Al mismo tiempo, es probable que el cifrado por sí solo parezca una forma arriesgada de proteger todo un sistema. Por este motivo, deben incorporarse protecciones adicionales en la arquitectura innata de la solución, que también funcionen sin mantenimiento adicional por parte de terceros. WebRTC, el protocolo de código abierto para comunicaciones web en tiempo real, es perfecto para estos fines, ya que la tecnología establece conexiones directas de usuario a usuario cifradas con DTLS y SRTP para un enlace casi impenetrable para los hackers y completamente independiente de servidores de terceros explotables. Además, WebRTC vive y funciona completamente dentro del navegador o de la aplicación propietaria que se utilice, lo que significa que permanece separada de los archivos del dispositivo del usuario final y no se ve afectada por ningún virus o programa espía que se introduzca en el hardware; esta infraestructura también permite que WebRTC se actualice automáticamente cada vez que se actualiza el propio navegador, evitando la necesidad de largas descargas o tediosas instalaciones para mejorar la seguridad.
Por último, un sistema en su estado más seguro necesita métodos de vigilancia interior, o formas de rastrear posibles amenazas e intentos de intrusión para tener una visión más completa de sus necesidades de seguridad. Como tal, cualquier plataforma UCC debe tener amplias capacidades de supervisión a las que un administrador pueda acceder y utilizar fácilmente dentro del propio sistema. Aunque la supervisión manual es esencial, aún más vital es disponer de alertas automáticas para conocer inmediatamente las posibles brechas y ataques del sistema, ya que un tiempo de respuesta rápido ante posibles amenazas puede marcar fácilmente la diferencia a la hora de preservar la integridad del sistema. Juntos, estos componentes crean fácilmente un sistema con una seguridad fiable y autosuficiente que funciona al máximo: sin gestión adicional y sin crear nuevas posibilidades de que el error del usuario socave las fortificaciones del sistema.
Seguridad a través de Wildix
Un ejemplo práctico de estos cinco componentes es Wildix. Con este sistema, el cifrado está activado por defecto en todos y cada uno de los mensajes enviados, con TLS y SRTP actualizados que garantizan la privacidad de las comunicaciones sin necesidad de que el usuario final intervenga. Una protección similar se ofrece a toda la organización con requisitos de contraseñas seguras y sistemas de almacenamiento de contraseñas bien cifradas que, junto con las opciones de 2FA y SSO, crean un estándar seguro y fiable para gestionar los inicios de sesión. La protección DDoS está igualmente integrada mediante el bloqueo automático de intentos de inicio de sesión excesivos o una sobrecarga de tráfico procedente de direcciones IP específicas.
Estos puntos se refuerzan aún más con una arquitectura basada íntegramente en WebRTC sin descargas ni instalaciones adicionales. Y lo que es más importante, WebRTC permite al sistema establecer conexiones directas de igual a igual con cifrado adicional incorporado para transferencias de datos totalmente privadas.
Además de todo esto, también cuenta con múltiples formas para que los administradores rastreen posibles intrusiones e intentos de piratería en un sistema. Las alertas automáticas de actividades sospechosas pueden configurarse fácilmente para mantener a los MSP al tanto de los peligros para los sistemas de sus clientes, y la supervisión manual también puede realizarse desde la vista de administrador o incluso a través de una integración optimizada con el software de supervisión externo Zabbix.
Para obtener más información sobre Wildix y cómo nuestra seguridad cumple su promesa de seguridad por diseño, no deje de visitar nuestro sitio web y descargar nuestro libro blanco gratuito sobre seguridad.
Nota final de VoIP.ms: Wildix es uno de nuestros socios más recientes, y estamos muy contentos con lo que hemos avanzado juntos. De hecho, echa un vistazo al co-webinar que organizamos con ellos aquí.