VoIPhreaking, una nueva amenaza a la seguridad en VoIP

esde simples ataques de "negación-de-servicio", donde una empresa o un individuo quedan impedidos de usar el teléfono, a sofisticados secuestros de números telefónicos que pueden redireccionar llamadas a piratas informáticos, estas nuevas amenazas alteran radicalmente la manera que se percibe al teléfono común, según informa VSantivirus.

Aunque si bien Skype, con sus millones de usuarios, es la cara pública de VoIP, la mayoría del uso del protocolo de voz sobre Internet, está menos orientado al consumidor, y es mucho menos atractivo.

Muchos negocios están actualmente sustituyendo o analizando sustituir, su infraestructura de telefonía interna para recortar costos. Incluso las compañías de telecomunicaciones, aunque aterrorizadas de lo que hará VoIP al flujo de réditos, están transfiriendo con impaciencia mucho de su tráfico de red telefónica conmutada (PSTN o Public Switched Telephone Network), espina dorsal de la red pública de teléfonos, a la tecnología VoIP.

Pero casi todos estos nuevos despliegues de VoIP están ocurriendo sin la debida atención al tema de la seguridad, lo que podría afectar seriamente a estas compañías y a los consumidores.

Los verdaderos costos del VoIP -la exposición creciente a serios riesgos en la seguridad- pueden empequeñecer los ahorros ganados al reducir los cargos de las llamadas.

Aunque algunos empresarios pueden sentir que ellos no están expuestos porque todavía no han adoptado la tecnología VoIP, o porque no están conectados directamente con Internet o con la red pública conmutada, en realidad sí están en riesgo a muchos ataques silenciosos de "VoIPhreaking", igual que el resto de nosotros.

VoIPhreaking es en Internet el hermano moderno, más joven, del tradicional "phreaking", que es el término usado para las acciones de hackear, explorar y explotar la infraestructura telefónica convencional (PSTN), a los efectos de realizar llamadas telefónicas gratuitas, robándole dinero a las compañías telefónicas.

Desde los días de Captain Crunch y de Steve Jobs, que explotaban señales inband (llamadas telefónicas controladas vía tonos audibles) para conseguir llamadas gratuitas, las compañías telefónicas han trabajado duramente para reducir las vulnerabilidades en sus redes.

Si bien sus motivos eran conseguir beneficios -la reducción de fraude en las llamadas aumenta los réditos- el resultado ha sido una red de telefonía global relativamente estable y confiable.

Pero todo esto ahora está cambiando, pues Internet y PSTN están convergiendo sin que se preste ninguna atención para asegurar las interconexiones. Un hecho del cual los piratas informáticos están extremadamente conscientes y ya están explotando activamente.

Explotar la telefonía convencional vía VoIPhreaking, proporciona una abundancia de vectores potenciales de ataques, permitiendo múltiples y diferentes resultados que evitan o derriban las características confiables del sistema telefónico.

Los ataques básicos incluyen varias técnicas de fraude, permitiendo a VoIPhreakers hacer llamadas telefónicas gratuitas a expensas de las compañías de telecomunicaciones.

Ataques más avanzados permiten que los piratas informáticos controlen totalmente las conexiones telefónicas, incluyendo por ejemplo los datos usados por los identificadores de llamadas (Caller-ID). Esta información se utiliza con frecuencia para la autentificación de las casillas de mensajes de voz, tarjetas de crédito, y en algunos países, incluso para pagar facturas de servicio público.

Un phisher también podría utilizar los controles de una central telefónica dentro de la red para redireccionar llamadas a través de un servidor tomado. Y no es justamente la iniciación de una llamada telefónica el punto vulnerable; es después de que una llamada está en progreso que un VoIPhreaker puede causar mucho daño.

Para un pirata informático es trivial escuchar disimuladamente el tráfico interno de voz dentro de la red. Ahora esto puede ser particularmente devastador en una central telefónica.

El escuchar disimuladamente una llamada no es tampoco la única preocupación, puesto que la tecnología usada para VoIP permite que los atacantes inyecten fácilmente nuevo contenido en una llamada telefónica existente.

Por ejemplo, un phisher podría utilizar este ataque para asegurarse de que la información deseada sea proporcionada durante una llamada telefónica, tal como inyectar un mensaje de voz instruyendo al cliente mientras está en espera: "Por favor marque su número de cuenta y contraseña para un servicio más rápido. Su llamada es importante para nosotros."

Ya existen herramientas disponibles en Internet, que proporcionan la capacidad para estos ataques, y es solamente cuestión de tiempo, antes de que se empaqueten para los atacantes menos expertos y así se conviertan en algo común.

Pero lo realmente alarmante no es justamente que los ataques sean posibles, sino que si esos ataques están ocurriendo ya, nadie podría saberlo debido a la poca seguridad en la mayoría de los despliegues de VoIP.