La telefonía en Internet, más fácil de "pinchar" que la convencional....

Aunque existen protocolos (como SRTP o SIP+TLS) dirigidos a securizar la telefonía por Internet, lo cierto es que son raramente empleados. En su lugar se suele utilizar SIP para establecer el contacto, un protocolo cuya carencia de autenticación, junto al hecho de que los mensajes de señalización sean transmitidos en claro, facilita que mediante el uso de determinadas herramientas -como SiVuS- un intruso pueda sustituir la IP legítima del llamante por la suya propia.

Igualmente, otras herramientas como Cain & Abel permitan interponerse en el canal de comunicación y acceder al contenido de la llamada.

Como consecuencia, y sin necesidad de recurrir a vulnerabilidades específicas de los productos empleados, bien puede decirse que "pinchar" un teléfono por Internet (VoIP) puede resultar en la práctica más fácil que pinchar un teléfono convencional, ya que está al alcance de cualquiera que disponga de un portátil y los conocimientos adecuados, junto con herramientas libremente disponibles...

Para evitarlo, los proveedores de acceso deben ser conscientes de la necesidad de utilizar mecanismos para detectar y prevenir ataques (sobre todo DoS), y los productos y aplicaciones han de hacer uso de protocolos seguros para transmitir la información (SRTP) así como de los mecanismos de seguridad recomendados para reforzar los estándares (caso de TLS para SIP).

Más a nuestro alcance como usuarios, el cifrado -con herramientas como Zfone- puede sernos también de ayuda para salvaguardar la intimidad de nuestras conversaciones telefónicas sobre Internet.

Más información:

• Two attacks against VoIP [Security Focus]
• Security in SIP-Based Networks [Cisco]
• Vulnerabilities in SOHO VoIP Gateways [pdf, 257 KB]
• Voice over Packet Security Forum
• Cómo: Telefonía por Internet cifrada con Zfone [Kriptópolis]

Articulo de Kriptopolis