Estimados entusiastas del blog VoIP.ms, a continuación, encontrarán un artículo de blog invitado de uno de nuestros socios, una empresa líder en la industria: SNOM, una empresa fundada en 1997 en Berlín, Alemania; actualmente una corporación multinacional que fabrica dispositivos telefónicos VoIP profesionales y empresariales, son conocidos por ser pioneros en VoIP, así como por la producción en masa de dispositivos VoIP.
¿Se ha puesto a pensar alguna vez, podría ser su sistema telefónico un riesgo de seguridad inminente?
Cuando un ladrón quiere entrar en una casa, suele realizar su propia evaluación de riesgos antes de hacerlo:
- ¿Hay alguien en casa?
- ¿Es difícil abrir puertas o ventanas cerradas?
- ¿Hay un sistema de alarma y, en caso afirmativo, es fácil desactivarlo?
Si el valor esperado de los objetos que pretenden robar en la casa supera los riesgos de entrar por la fuerza, entonces tomarán su decisión. Cuando se piratea un sistema telefónico empresarial, los principios son similares, pero la escala es diferente. Dado que se prevé que el mercado mundial de VoIP alcance los 93.200 millones de dólares en 2024, el pirateo y la explotación de sistemas telefónicos se está convirtiendo rápidamente en una empresa lucrativa para los ciber delincuentes debidamente cualificados.
Dado que el valor de estas ganancias ilícitas aumenta exponencialmente año tras año, es esencial que todos los integrantes del sector, incluidos los operadores, proveedores de servicios, integradores de sistemas, administradores/usuarios de tecnologías de la información y, por supuesto, los propios proveedores y fabricantes de hardware y software, den prioridad a la seguridad de la red y la mejoren.
No sólo el aumento de la cuota de mercado mundial de la telefonía IP está proporcionando un objetivo atractivo para los piratas informáticos, sino también los cambios en el comportamiento empresarial. Y con un cambio hacia el trabajo remoto más rápido de lo previsto, la proliferación de BYOD (traiga su propio dispositivo) y el aumento de operadores que cambian a soluciones totalmente IP, el mercado no sólo se está expandiendo, sino que también cambia rápidamente, y donde hay cambio hay incertidumbres y desarrollos impredecibles que proporcionan un terreno fértil para aquellos con inclinaciones criminales que quieran explotar cualquier oportunidad.
Pero, ¿cómo lo hacen?
¿Cuáles son los métodos más comunes para el hacker con inclinaciones criminales y técnicamente au fait? ¿Qué tal un allanamiento de morada? Para acceder a un sistema de telefonía, los piratas informáticos necesitan la contraseña del dispositivo en cuestión. Para conseguir esta contraseña y comprometer con éxito un sistema IP-PBX, los hackers identificarán una extensión IP en la red y bombardearán ese dispositivo con diferentes contraseñas con la esperanza de que una de ellas sea la correcta.
Aunque parezca una posibilidad remota, muchos usuarios no cambian sus contraseñas de la configuración predeterminada. Además, los hackers pueden enviar miles de contraseñas a una extensión en sólo un par de minutos. En muchos casos, los hackers no tardan mucho en adivinar la contraseña correcta e iniciar sesión en el sistema IP-PBX.
O, alternativamente, pueden identificar puntos débiles en un sistema para poder eludir o sobrescribir los requisitos de contraseña o utilizar métodos de suplantación de identidad, por ejemplo, haciéndose pasar por administradores de TI para obtener las contraseñas.
Lamentablemente, el número de amenazas a las redes va en aumento y una búsqueda superficial revela una ominosa lista de ataques malignos entre los que se incluyen los de «Fuerza Bruta», «Hombre en el Medio», DDoS (Denegación de Servicio Distribuida) y «Spoofing», todos los cuales suponen una grave amenaza para las comunicaciones no seguras.

Una vez que un pirata informático tiene acceso al sistema, hay muchas formas en las que puede interrumpir la red de telefonía IP y potencialmente hacer que la empresa pierda grandes sumas de dinero. Uno de los ataques más comunes, y de hecho uno de los más dañinos, es cuando los delincuentes profesionales conectan todo un centro de llamadas a la conexión de red comprometida, enrutando miles de llamadas a través de la única conexión en un corto período de tiempo. Dependiendo de cómo la IP-PBX enrute sus llamadas, y de la regularidad con la que la empresa reciba sus facturas, esta actividad puede continuar durante meses antes de ser descubierta, disparando una factura telefónica astronómica.
Aunque ésta es la principal forma que tienen los piratas informáticos y los estafadores de aprovecharse de un sistema mal protegido, las contraseñas débiles y la falta de cifrado en una infraestructura IP-PBX pueden dejar las puertas abiertas de par en par a otros tipos de actividades maliciosas.
Por ejemplo, como resultado de la naturaleza informatizada de la telefonía IP, es mucho más sencillo que con los teléfonos fijos grabar en secreto las llamadas internas. En lugar de tener que instalar un dispositivo físico, las llamadas pueden grabarse simplemente utilizando el software adecuado. A menudo, este tipo de amenaza proviene de un empleado dentro de la organización, por lo que es difícil protegerse contra ella. Si una empresa utiliza un protocolo VoIP sin cifrar, no existe ninguna barrera que impida la grabación de las llamadas.
Incluso si la amenaza no proviene de un empleado, o de grupos externos con interés en grabar las conversaciones telefónicas de una empresa, podría utilizarse un troyano para instalar la herramienta de grabación. Y las cosas podrían empeorar aún más si el teléfono se utiliza para entrar en la red de la empresa, accediendo a toda la estructura de servidores, como un ladrón que accede a una casa por el sótano.
Piénselo así: Necesitarás una cerradura fiable para la puerta trasera, la puerta principal, la trampilla del sótano y todas las habitaciones de tu casa. Asegurándose también de tener las llaves de estas cerraduras, se minimizan los riesgos, pero sigue siendo responsabilidad del propietario asegurarse de que las puertas están realmente cerradas.
Todas estas amenazas a la seguridad hacen que sea imperativo que las empresas / proveedores realicen tantas pruebas como sea posible, con el fin de garantizar que sus clientes y sus comunicaciones estén lo más protegidos posible. Empresas como SNOM disponen de salas con bancos de dispositivos que se prueban en un entorno acelerado pero real.
Básicamente, el ATF (Automatic Test Framework) ejecuta pruebas continuas de su software. Esto significa la eliminación de problemas de seguridad y la actualización del software antes incluso de que los clientes finales hayan detectado un problema. En otras palabras, las empresas identifican y solucionan los problemas de forma proactiva, en lugar de esperar a que los clientes vengan a aporrear la puerta de su equipo de asistencia pidiendo ayuda a gritos.
En el caso concreto de SNOM, además de llevar a cabo una comprobación continua de la seguridad y el software de ATF, también ofrecen a los usuarios una visión general para aplicar medidas de seguridad y privacidad en su centro de servicios, service.snom.com. Entre los temas tratados se incluyen la autenticación de puertos mediante 802.1x, la comprobación dinámica de listas negras. Cifrado DECT, compatibilidad con TLS y dispositivos en una VPN.
¿Quién más tiene que asumir responsabilidades?
La cadena de seguridad de las telecomunicaciones se compone de varios eslabones igualmente cruciales. Uno de estos eslabones clave es, por supuesto, el administrador de TI de una empresa. Es una realidad ineludible que el administrador de TI debe asumir cierta responsabilidad en la protección de la seguridad de la red de su empresa aplicando una política de contraseñas eficaz e informando al personal y a los compañeros de sus requisitos.
Dar prioridad a una comunicación fluida frente a la seguridad es algo que, en determinadas circunstancias, puede ocurrir. Esto puede compararse a dejar las llaves de casa debajo de una maceta cerca de la puerta principal para que otra persona pueda entrar.
Hay que sopesar bien los riesgos y, al final, esto nunca debe considerarse una solución permanente. Al fin y al cabo, la seguridad es una de esas cosas en las que sólo se repara cuando algo va mal.
Una tarea ingrata para quienes deben velar por el mantenimiento de los sistemas de seguridad. ¿Cuántas veces da las gracias el personal de oficina a la dirección del edificio por un año sin robos? Es fácil olvidar lo importante que es la seguridad cuando funciona bien. La seguridad permanente requiere la vigilancia y la concienciación de varios eslabones clave de la cadena que cierra la puerta.

¿Cuánto? La seguridad de la red implica seguridad financiera.
¿Cuál es el costo de que un sistema telefónico sea vulnerado o pirateado? Pues bien, en 2016 se calculó en 38.100 millones de dólares (a nivel mundial), de los cuales 3.530 millones fueron a través de la telefonía IP-PBX.
Esta cifra, año tras año ha ido creciendo exponencialmente. Imagínate lo siguiente: Una pequeña empresa de, digamos, 25 empleados, recibe de repente una factura de seis cifras por las llamadas realizadas durante una sola semana. Un examen más detallado revela que las llamadas se han realizado a números de tarificación adicional en países donde el dinero desaparece rápidamente en un sistema financiero oscuro e imposible de rastrear. En el peor de los casos, estos costes pueden llevar instantáneamente a la quiebra a una empresa.
¿En el mejor de los casos? Un duro despertar a la importancia de la seguridad de la red. Garantizar que los empleados de la empresa reciban formación periódica en materia de seguridad informática es algo que debería ser un proceso continuo y no algo puntual. Equipos de ventas, atención al cliente, centralita… todas estas funciones esenciales son eslabones débiles potenciales en la cadena de seguridad.
En los últimos tiempos, ha surgido toda una serie de problemas de seguridad debido a que cada vez más personas trabajan a distancia o desde casa y utilizan sus propios dispositivos en la red de la empresa (BYOD o “Traiga-su-propio-dispositivo”). El peligro para las empresas se ha multiplicado enormemente en el espacio de unos pocos meses. Descuidar estos nuevos eslabones débiles de la cadena de seguridad sería extremadamente peligroso.
Mirando en la bola de cristal…
Imaginemos que estamos en el año 2025. Se ha producido un catálogo de cambios importantes en la tecnología y el comportamiento. Personas de todo el mundo tienen a su alcance multitud de soluciones de comunicación a medida diseñadas para satisfacer todas sus necesidades personales y empresariales. Sin embargo, para llegar a este punto, muchas empresas, de todos los sectores y escalas, se han perdido.
Su legado es una lección de seguridad: asumir responsabilidades, mantener revisiones continuas, no dejar piedra sin remover y encender una linterna en cada sombra. Esta afirmación excesivamente simplista no es de ninguna ayuda para los responsables de la seguridad de su empresa hoy en día, pero lo que sí podría ayudar es entender que la mayoría de las empresas actuales, trabajan con los más altos estándares de desarrollo e innovación. Como base fundamental de la telefonía IP y en reconocimiento de nuestras responsabilidades, la seguridad es un área a la que dedicamos gran parte de nuestros recursos.
Los casos de piratería informática de alto perfil y/o alto coste, la proliferación de «SPIT» (Spam over Internet Telephony) y otras llamadas no solicitadas seguirán ocupando los titulares, pero como dice el viejo refrán, «quien vale por dos, vale por dos»: Sólo una combinación de fabricantes, socios de interoperabilidad, integradores, revendedores y usuarios finales puede contribuir a aumentar la concienciación sobre la seguridad y las buenas prácticas. Las empresas de VoIP y telecomunicaciones han desempeñado, desempeñan y seguirán desempeñando su papel en este esfuerzo de equipo.
Nota final de VoIP.ms: Hemos desarrollado una excelente relación con SNOM en los últimos meses y seguimos trabajando en estrecha colaboración con ellos para permitir una integración perfecta para nuestros clientes en común.