This page contains a Flash digital edition of a book.
REDES E INFRAESTRUCTURA TI


al dispositivo móvil del receptor, donde una vez recibida se descifra. Siempre y cuando el cifrado sea de alto grado, aun cuando la llamada logre ser intercep- tada, no podrá ser escuchada. Se reco- mienda la selección de un sistema de encriptación que haya sido certificado por el Instituto Nacional de Normas y Tecnología de los EUA (NIST por sus siglas en inglés) y que contenga algorit- mos fuertes. Manténgase alejado de las soluciones que ofrecen servidores de gestión de claves criptográficas o que al- macenan claves en hardware. Esto sólo conducirá a una explotación. Seleccione un sistema que destruya todas las claves de cifrado al finalizar la llamada. Claude Shannon, el famoso criptó-


grafo de la Segunda Guerra Mundial y el padre de la “Teoría de la Información”, dijo una vez: “Todos los códigos de ci- frado irrompible deben tener una clave que sea verdaderamente aleatoria, tan larga como el texto plano, nunca deben reutilizarse ya sea total o parcialmente, y deben mantenerse en secreto”. n


propiedad personal (BYOD), continúan conectándose a la red empresarial a tra- vés de redes públicas (es decir, GSM, CDMA, UMTS, LTE, Wi-Fi). Por ejem- plo, atacantes externos pueden explotar vulnerabilidades en el registro de archi- vos TFTP, o rastrear el tráfico VoIP de las redes de cortesía Wi-Fi de un hotel. Históricamente se creía que sólo los


sistemas informáticos de costo elevado y operados por criminales cibernéticos bien financiados podrían atacar obje- tivos corporativos o gubernamentales de alto valor. Éste ya no es el caso. La realidad es que el VoIP móvil y los soft- ware de comunicaciones unificadas sue- len enrutar todo el tráfico de llamadas a través de una PBX empresarial, antes de enrutar la llamada al destinatario de la misma, también conectado vía VoIP móvil. Esto permite a atacantes internos comprometer un componente de la PBX y grabar silenciosamente las llamadas VoIP de altos ejecutivos en las que se discuten secretos comerciales u otras conversaciones sensibles. Éste es un tipo de ataque interno de la categoría que se conoce como ataque de “hombre en el medio” (man-in-the-middle, MitM, por sus siglas en inglés). De hecho, algunas herramientas de


evaluación de seguridad de VoIP están siendo utilizadas maliciosamente para la interceptación. Algunas de estas he- rramientas están disponibles de forma gratuita en la red, atrayendo tanto las manos traviesas de aficionados (script


68 www.seguridadenamerica.com.mx


kiddies), como las de delincuentes ci- bernéticos profesionales. UCSniff, por ejemplo, permite a un atacante apuntar hacia usuarios de VoIP basándose en una extensión telefónica de la PBX, rea- lizar interceptación y grabación de las comunicaciones VoIP en tiempo real, manipular de archivos TFTP median- te ataques MitM, y detectar redes tipo VLAN subyacentes. Existen otras herramientas que fa-


cultan al atacante para registrar e in- terpretar tonos duales multifrecuencia (Dual Tone Multi-Frequency, DTMF por sus siglas en inglés). Estos tonos se escuchan cuando usted teclea su núme- ro de cuenta bancaria o la contraseña del correo de voz en un sistema auto- matizado. En definitiva, la seguridad de VoIP simplemente no se ha mantenido al corriente con el avance y la adopción generalizada de las comunicaciones mó- viles.


RECOMENDACIONES PARA LLAMADAS SEGURAS


Dada la debilidad y vulnerabilidad inhe- rente de comunicaciones móviles, sa- telitales, VoIP móvil y comunicaciones unificadas, la única manera en la que los usuarios pueden garantizar que sus co- municaciones de voz estén a salvo de in- terceptación es utilizar su propio siste- ma de cifrado de punta a punta. Emplee el uso de una aplicación que encripte la comunicación en el dispositivo móvil de la persona que llama y la transmite


* Acerca del autor


- Mark R. Gooding, CISSP, es consultor en Seguridad de la Información con más de 18 años de experiencia en la industria, especializándose en criptografía de radio y defensa de redes. Si desea conocer más acerca del autor, consulte su CV en: seguridadenamerica.com.mx/colaborador


*Para contactar al autor, hágalo a través de mark.gooding@cellcrypt.com


Referencias 1


2


Ejemplo de guía http://gsm-interceptor. site90.com.


Publicación de Forbes.com sobre avión casero teledirigido que espió teléfonos celulares: http://www.forbes.com/sites/ andygreenberg/2011/07/28/flying- drone-can-crack-wifi-networks-snoop- on-cell-phones/.


3


Microsoft, grabación silenciosa de comunicación http://www.google.com/ patents/US20110153809?dq=645485&ei =fgJSUcblJsLJ0QHMsYCwBQ.


4


Método de interceptación de comunicaciones VOIP http://www. google.com/patents/US20130039226?dq =voip+interception&hl=en&sa=X&ei=7s dRUYmWB4P88gSGloHYBQ&ved=0CD YQ6AEwAA.


Foto: © Digitalstormcinema | Dreamstime.com


Page 1  |  Page 2  |  Page 3  |  Page 4  |  Page 5  |  Page 6  |  Page 7  |  Page 8  |  Page 9  |  Page 10  |  Page 11  |  Page 12  |  Page 13  |  Page 14  |  Page 15  |  Page 16  |  Page 17  |  Page 18  |  Page 19  |  Page 20  |  Page 21  |  Page 22  |  Page 23  |  Page 24  |  Page 25  |  Page 26  |  Page 27  |  Page 28  |  Page 29  |  Page 30  |  Page 31  |  Page 32  |  Page 33  |  Page 34  |  Page 35  |  Page 36  |  Page 37  |  Page 38  |  Page 39  |  Page 40  |  Page 41  |  Page 42  |  Page 43  |  Page 44  |  Page 45  |  Page 46  |  Page 47  |  Page 48  |  Page 49  |  Page 50  |  Page 51  |  Page 52  |  Page 53  |  Page 54  |  Page 55  |  Page 56  |  Page 57  |  Page 58  |  Page 59  |  Page 60  |  Page 61  |  Page 62  |  Page 63  |  Page 64  |  Page 65  |  Page 66  |  Page 67  |  Page 68  |  Page 69  |  Page 70  |  Page 71  |  Page 72  |  Page 73  |  Page 74  |  Page 75  |  Page 76  |  Page 77  |  Page 78  |  Page 79  |  Page 80  |  Page 81  |  Page 82  |  Page 83  |  Page 84  |  Page 85  |  Page 86  |  Page 87  |  Page 88  |  Page 89  |  Page 90  |  Page 91  |  Page 92  |  Page 93  |  Page 94  |  Page 95  |  Page 96  |  Page 97  |  Page 98  |  Page 99  |  Page 100  |  Page 101  |  Page 102  |  Page 103  |  Page 104  |  Page 105  |  Page 106  |  Page 107  |  Page 108  |  Page 109  |  Page 110  |  Page 111  |  Page 112  |  Page 113  |  Page 114  |  Page 115  |  Page 116  |  Page 117  |  Page 118  |  Page 119  |  Page 120  |  Page 121  |  Page 122  |  Page 123  |  Page 124  |  Page 125  |  Page 126  |  Page 127  |  Page 128  |  Page 129  |  Page 130  |  Page 131  |  Page 132  |  Page 133  |  Page 134  |  Page 135  |  Page 136  |  Page 137  |  Page 138  |  Page 139  |  Page 140  |  Page 141  |  Page 142  |  Page 143  |  Page 144  |  Page 145  |  Page 146  |  Page 147  |  Page 148  |  Page 149  |  Page 150  |  Page 151  |  Page 152  |  Page 153  |  Page 154  |  Page 155  |  Page 156  |  Page 157  |  Page 158  |  Page 159  |  Page 160  |  Page 161  |  Page 162  |  Page 163  |  Page 164  |  Page 165  |  Page 166  |  Page 167  |  Page 168