Advertencia sobre inseguridad en uso de telefonía IP vía Internet de Skype

13 Nov 2005 en Software

Una investigación realizada por VeriSign e Info-Tech Research Group indica que los riesgos de seguridad asociados al software de telefonía sobre Internet pueden poner en peligro a las redes corporativas.
Ross Armstrong, analista investigador senior de Info-Tech, aconseja la prohibición de software de VoIP (Voz sobre IP) en las redes empresariales, especialmente a quienes ya tengan similares políticas respecto al uso de tecnologías peer-to-peer como Instant Messaging, por ejemplo.
En particular, la advertencia es acerca de Skype, cuyo uso en los lugares de trabajo crece vertiginosamente. Existe peligro si en una empresa descargan Sype y se lo usa como aplicación no sancionada dentro de la misma.
La misma Skype reportó dos vulnerabilidades serias hace dos semanas y en esa oportunidad se emitieron los correspondientes patches. La empresa, recientemente adquirida por eBay, tiene 54 millones de usuarios en 225 países para su software sin cargo.
Además de su telefonía sin cargo como la de PC a PC, correo de voz, instant messaging y llamados en conferencia, Skype ofrece un servicio pago que es Skypeout donde conecta a usuarios de PCs con líneas convencionales y teléfonos móviles.
Muchos gerentes de IT ni siquiera saben que la aplicación está detrás de su firewall y si existen versiones sin los patches, la red es vulnerable.
Skype tiene un centro de recursos de seguridad en su sitio Web para que los administradores de red incluyan a esta aplicación en sus políticas de seguridad. De ser permitido el uso, debe ser administrado centralizadamente. Armstrong aconseja a las empresas esperar hasta la aparición de una versión empresarial de Skype antes de permitir su uso internamente. Así como está, Skype no deja un rastro auditable y puede poner a las empresas en problemas en cuanto a cumplimiento de normas.
El problema de la seguridad en VoIP está siendo atendido mediante la formación de VoIP Security Alliance (VOIPSA), de la que forma parte VeriSign.
Los paquetes VoIP, según Internet Security Intelligence Briefing, carecen completamente de firmas reconocibles para que los administradores distingan sus paquetes de aquellos que pueden transportar virus troyanos.
Phillip Hallam-Baker, científico principal de VeriSign, nos dice que los cambios en los protoclos de redes que utiliza la industria de VoIP no han estado a la altura de las expectativas de los administradores de seguridad. “El mundo de VoIP es sumamente complejo, con muchas partes inasibles. Al realizarse cambios en el protocolo básico, esos cambios serán causados por funciones y características que el mundo de VoIP considera necesarias y no por funciones y características que el mundo de los datos quisiera ver en ese protocolo.
El informe de VeriSign recomienda usar redes separadas para tráfico de voz y datos, o bien conectarse a través de una VPN (Virtual Private Network).