Actualmente las organizaciones tienen la necesidad de contar con mejor comunicación y mayor velocidad y agilidad para ejecutar los procesos de negocio, por otro lado, cada vez es más frecuente que los usuarios que ejecutan estos procesos sean móviles. Es por ello que contar con servicios que les permitan interactuar de forma más eficiente, flexible, rápida y barata son factores clave de éxito para los negocios.

Las comunicaciones unificadas (Unified Communications) -integración entre la red y aplicaciones de datos con servicios  de comunicación sobre IP (voz, mensajería instantánea y video)- vienen a proveer una plataforma muy importante para generar dichos factores determinantes en las organizaciones.

Este nuevo contexto suena muy interesante pero, ¿se ha detenido a reflexionar en los riesgos que esto podría implicar?, ¿se ha preguntado si algún extraño o delincuente podría escuchar, grabar, alterar o publicar sus conversaciones?, ¿podría sufrir un ataque a la infraestructura que bloquee el sistema y lo deje totalmente incomunicado?, ¿podría alguien hacer llamadas usurpando su número e identidad?, ¿podrían cobrarle por concepto de llamadas que usted no realizó?

Cuando se ejecuta un proyecto de comunicaciones unificadas hay que considerar que existen diversos retos desde el punto de vista de seguridad, algunos de ellos muy particulares y otros similares a los que presentan las  redes y aplicaciones tradicionales de IP; los más relevantes son:

  • Amenazas de intercepción y modificaciones.
  • Amenazas de interrupción del servicio.
  • Amenazas de abuso del servicio.

Asimismo existen ataques específicos para los cuales debemos contar con mecanismos de protección, por mencionar algunos: DoS (denial of service), call hijacking, call recording, caller ID spoofing, man in the middle,  fraude, SPIT (SPAM over IP Telephony), vishing (voice phishing), etcétera.

Lo ideal es que la seguridad en las comunicaciones unificadas se contemple desde un inicio, es decir, desde el diseño de la arquitectura y no como una idea de último momento; desafortunadamente, muchas veces la seguridad se considera hasta que se tiene el primer incidente notorio o con impacto para el negocio.

Las estrategias para prevenir fugas de información en las comunicaciones unificadas tienen que pensarse en un esquema multicapas y deben estar dirigidas a cubrir los tres aspectos básicos de la seguridad (confidencialidad, integridad y disponibilidad) y a garantizar la calidad del servicio y la calidad de la experiencia del usuario final. Es necesario tomar en cuenta una serie de controles de distinta naturaleza pero complementarios, tales como los siguientes:

Normativos. Se refieren a contemplar la definición de políticas y normas correspondientes así como a realizar análisis de riesgos y auditorías recurrentes.

Tecnológicos. A través de:

  • elementos ya existentes como parte de la infraestructura de soporte de la red IP (VLAN, ACL, endurecimiento de plataformas, etcétera),
  • la infraestructura propia de comunicaciones unificadas,
  • elementos ya implementados como parte de estrategia de seguridad de la red IP (firewalls, IPS, etcétera),
  • funciones avanzadas y protocolos seguros (IPSec, TLS/DTLS, SRTP, SRTCP, etcétera) y
  • elementos especializados que permiten implementar controles muy granulares como SBC y UCTM.

Operativos. Que toman en cuenta aspectos como administración de parches, control de configuraciones y cambios, administración de activos y monitoreo permanente.

¿Está su organización adecuadamente protegida?

[email protected]