La seguridad en\u00a0sistemas VoIP es un asunto\u00a0muy importante a ser tenido en cuenta, tanto por proveedores del servicio VoIP \u00a0como tambi\u00e9n por parte de los clientes\u00a0de estos sistemas.
\nUn proveedor de servicios VoIP est\u00e1 todo el tiempo expuesto a ser atacado por entidades\u00a0externas, que monitorean continuamente\u00a0las redes para conectarse de modo fraudulento\u00a0a los servidores VoIP, para luego salir a vender\u00a0llamadas a precios muy bajos desde el sistema vulnerado.<\/p>\n
A continuaci\u00f3n listo\u00a0algunas recomendaciones y\/o herramientas que se pueden usar para minimizar este riesgo de seguridad en sistemas VoIP:<\/p>\n
1. Usar\u00a0cuentas y contrase\u00f1as de buena\u00a0longitud y complejidad; los fraudes siempre se tratan de hacer primero por medio de fuerza bruta, usando n\u00fameros de cuenta y contrase\u00f1as t\u00edpicos, usados a partir de un diccionario conocido de estos valores. Por eso es importante reforzar\u00a0la pol\u00edtica de\u00a0las credenciales los\u00a0usuarios del sistema.<\/p>\n
2. Hacer uso de\u00a0conexiones seguras y encriptadas (como ssh) entre el servidor VoIP\u00a0y el cliente\u00a0final. La\u00a0conexi\u00f3n VoIP permanece encriptada, siendo\u00a0m\u00e1s dif\u00edcil apara la entidad\u00a0externa tratar\u00a0de conectarse al sistema o capturar\u00a0las credenciales\u00a0de un usuario.<\/p>\n
3. Otra recomendaci\u00f3n puede ser manejar\u00a0puertos UDP diferentes a los t\u00edpicamente\u00a0usados, por ejemplo, en vez de usar el puerto 5060, usar el puerto 35200 para el protocolo\u00a0SIP; as\u00ed les ser\u00e1 m\u00e1s complicado\u00a0a los agentes externos\u00a0rastrear una conexi\u00f3n VoIP a un servidor.<\/p>\n
4. Para el caso de intentos de\u00a0conexiones por fuerza bruta (intentos\u00a0con diccionarios de contrase\u00f1as), se puede usar la aplicaci\u00f3n gratuita fail2ban, cuya funci\u00f3n es\u00a0bloquear la direcci\u00f3n IP del servidor desde el cual se est\u00e1n haciendo las m\u00faltiples peticiones de conexi\u00f3n al servidor de voz; cerrando finalmente el firewall a estas IP fraudulentas.<\/p>\n
5. Una alternativa\u00a0adicional es tratar de bloquear\u00a0los intentos de conexi\u00f3n que se hacen desde pa\u00edses lejanos a cuentas SIP ya hackeadas del sistema. Existen aplicaciones gratuitas que pueden reconocer si una IP no pertenece a un pa\u00eds espec\u00edfico, que a pesar de que se pudo autenticar en el sistema VoIP (se rob\u00f3 las credenciales del usuario), \u00a0el sistema autom\u00e1ticamente la bloquea, porque la IP no es del pa\u00eds de donde se supone se conecta el usuario.<\/p>\n
Un\u00a0ejemplo, si el servicio VoIP se est\u00e1 prestando en Colombia, se pueden bloquear autom\u00e1ticamente las conexiones que se hacen desde cualquier otro\u00a0pa\u00eds, porque puede ser indicativo de que\u00a0esas cuentas SIP han sido hackeadas, generalmente desde el equipo de un usuario\u00a0con virus o gusanos, y puede robar miles de pesos en un muy corto tiempo.<\/p>\n
Por otro lado tenemos a los usuarios\u00a0finales que pueden ser f\u00e1cilmente presa de acciones fraudulentas. Generalmente ocurren estos intentos\u00a0al tratar de robar\u00a0el usuario y la contrase\u00f1a de los usuarios en su computador\u00a0o en otros equipos\u00a0como los ATAs. Enseguida tenemos otras recomendaciones para evitar estos dolores de cabeza:<\/p>\n
1. Evitar\u00a0instalar programas de dudosa procedencia en los computadores que se conectan a las troncales SIP.<\/p>\n
2. Tratar de tener instalado un antivirus y un anti-spyware actualizados todo el tiempo.<\/p>\n
3. Para las credenciales de usuario, usar nombres de cuenta y contrase\u00f1a de larga longitud,\u00a0con combinaciones de letras y d\u00edgitos que no sean tan f\u00e1cilmente identificables.<\/p>\n
4. Es importante cambiar las contrase\u00f1as que traen por defecto los usuarios de administraci\u00f3n web de equipos\u00a0como los ATAs o los tel\u00e9fonos IP.<\/p>\n
5. Se puede solicitar al proveedor de servicios VoIP que restrinja las comunicaciones a destinos de altos costos, como Cuba por ejemplo.<\/p>\n
6. En lo posible evitar cuentas SIP que permiten varias conexiones simult\u00e1neas, porque si la cuenta llega a ser\u00a0hackeada, se pueden hacer\u00a0muchas comunicaciones en muy poco tiempo desde esa cuenta, terminando en un instante cualquier\u00a0saldo disponible en ella\u00a0.<\/p>\n
Si tenemos\u00a0en cuenta todas estas recomendaciones quiz\u00e1 podamos\u00a0tener mayor seguridad en sistemas VoIP, aunque no 100%\u00a0invulnerable a estos ataques. Por eso es importante monitorear continuamente nuestros sistemas VoIP\u00a0para detectar movimientos sospechosos, que puedan indicarnos que hay alg\u00fan intento de fraude\u00a0de minutos VoIP.<\/p>\n