En la actualidad, cada vez más organizaciones están adoptando la tecnología de VoIP (Voz sobre Protocolo de Internet) y los sistemas de Comunicaciones Unificadas (UC) basados en la nube para respaldar sus servicios comerciales y comunicaciones corporativas. Sin embargo, según Fatih Ozavci de Context Information Security, esto ha llevado a un aumento en la superficie de ataque de VoIP y al crecimiento de amenazas en el ámbito de la seguridad informática.

Ozavci, quien habló en la conferencia Black Hat USA, señala que la falta de comprensión de la seguridad moderna de VoIP y UC ha dejado a muchos proveedores de servicios y empresas expuestas a actores malintencionados que pueden aprovechar esta infraestructura expuesta para llevar a cabo ataques como la creación de botnets, la distribución de malware, el vishing, el DoS y el fraude telefónico.

El investigador de Context también destaca las posibles vulnerabilidades en las principales suites de productos UC y plataformas IMS, como la omisión de medidas de seguridad, la inyección de contenido malicioso en los mensajes, la suplantación de identidad del llamante y la omisión de facturación, así como los problemas causados por configuraciones inseguras.

“Al explotar estas vulnerabilidades, los atacantes podrían obtener acceso no autorizado a sistemas de clientes o servicios de comunicación como conferencias y colaboración, correo de voz, troncales SIP y mensajería instantánea”, advierte Ozavci.

La presentación en Black Hat destaca las debilidades en la mensajería UC, las comunicaciones federadas y los servicios de colaboración que podrían ser utilizados para obtener acceso no autorizado al entorno UC y a los sistemas de los clientes, así como para atacar los sistemas de los clientes utilizando protocolos de señalización y mensajería.

“Estos ataques pueden ser utilizados para comprometer los sistemas de los clientes mediante vulnerabilidades en los protocolos y el software”, agrega Ozavci, quien también señala que los planes de marcación, las troncales SIP mal configuradas y las infraestructuras de red y conferencias son también objetivos principales de ataques avanzados.

El investigador de Context también ha examinado los protocolos de transporte de medios como (S)RTP para llamadas de voz, compartición de archivos, escritorio y presentaciones. Los medios transmitidos pueden contener información confidencial o sensible, que puede estar sujeta a requisitos de cumplimiento como PCI, COBIT o información de privacidad del cliente.

“Debido a problemas de cifrado inseguro y diseño, la información sensible transmitida a través de los medios puede ser expuesta y comprometida”, explica Ozavci.

Para ayudar a crear conciencia sobre estas vulnerabilidades de VoIP y UC, Ozavci ha desarrollado herramientas de código abierto llamadas Viproxy y Viproy que se pueden utilizar para pruebas de penetración de VoIP. Estas herramientas están disponibles en: www.vipro y.com.

En resumen, es fundamental que las organizaciones comprendan los riesgos asociados con la creciente superficie de ataque de VoIP y tomen medidas para proteger sus sistemas y comunicaciones. La seguridad de VoIP y UC debe ser una prioridad para evitar posibles ataques y proteger la información confidencial de los clientes.