ISSN 1815-7017

Ed
E
E d orrriiia
diiittto
o alll
a

Agradecemos a todos los lectores de nuestra revista

CONTENIDO
así como a los expertos que han contribuido con
artículos para la presente edición, lo que ratifica la Año 3 Número 10
gran acogida de nuestra publicación entre los
diversos actores del sector de las tecnologías de la Julio a Noviembre 2007
información y la comunicación. Todo esto nos
motiva a continuar circulando L@tin.tel y a buscar
día a día la forma de enriquecerla con artículos
interesantes, actualizados y de gran interés para el
Editorial.............................................. 1
público objetivo.
Privacidad y flujo de datos
La presente edición se enfocó al tema de la transfronterizos: oportunidades
seguridad y protección de la información, aspecto para la promoción de nuevos
que toma gran importancia en relación a los últimos
hechos sucedidos en el Reino Unido donde quedó
mercados en la era digital................... 2
expuesta una gran parte de la población al
“Seguridad vs. Intimidad: Las dos
extraviarse información de carácter personal. Estos
hechos nos hacen reflexionar sobre la importancia caras de una misma moneda” ............. 4
hoy en día de asegurar la información y contar con
medidas y procedimientos de seguridad que
Salvaguardando la toma de
garanticen la protección de la información y la decisiones .......................................... 7
tranquilidad de la población.
Protección de la información.
Encontramos en este número un artículo sobre Ciberseguridad, Regulación y
privacidad y el flujo de datos trasnfronterizos como
una oportunidad para la promoción de nuevos
Gobernanza de Internet:
mercados en la era digital. Asimismo, se trata la “Phishing” un caso más de
seguridad, la intimidad y la toma de decisiones, estudio ............................................... 9
ratificándose la importancia del criterio de los
hacedores de políticas públicas para que se respete Seguridad de VoIP: La
el derecho a la intimidad y se proteja encriptación no es una Panacea ........ 13
adecuadamente nuestra información.
Es de especial importancia el artículo sobre
ciberseguridad, regulación y gobernanza de
Internet, en el cual afirma que los gobiernos, así
como la comunidad de Internet, se encuentran ante
el reto de garantizar la seguridad en las redes, en la
información y en los servicios, así como fomentar y
promover el uso de Internet para continuar
aprovechando los beneficios que provee en el
desarrollo de las Tecnologías de la Información y la
Comunicación (TICs).
Finalmente, y no menos importante, abordamos un
tema muy importante hoy en día relacionado a la
seguridad de la Voz sobre IP (VoIP), donde se
presentan algunas amenazas a las que está
expuesta como los ataques de denegación de
servicios (DoS), los virus y malaware, el fraude de
servicio, el robo de identidad, entre otros; y se
describen las funciones de la encriptación como
elemento necesario para cualquier solución de
seguridad, aunque finalmente se concluya que la
seguridad completa de VoIP debe contar con más
herramientas que la encriptación.
 garantizar a sus ciudadanos el derecho
Privacidad y flujo de fundamental a la privacidad y la protección de
sus datos personales. El desarrollo de la
datos transfronterizos: legislación, sin embargo, generó el riesgo de
incompatibilidad entre los marcos regulatorios.
oportunidades para la Dicha potencial incompatibilidad podría
promoción de nuevos generar limitaciones al flujo internacional de
datos, y con ello restricciones al comercio
mercados en la era internacional de bienes y servicios, razón por
la cual se ha buscado el establecimiento de
digital marcos internacionales para el establecimiento
de regulación común en esta materia.
Jorge Bossio Montes de Oca1
Es así que la Organización para la Cooperación
y el Desarrollo Económico – OCDE adoptó en

C
1980 los lineamientos sobre protección de la
uando se aborda la problemática de la
privacidad y flujos transfronterizos de datos
regulación de los servicios de
personales con la finalidad de prevenir
telecomunicaciones muchas veces nos
potenciales limitaciones al flujo de información
concentramos en aspectos tales como el
que podrían afectar el desarrollo económico,
acceso a la infraestructura y la provisión de
específicamente enfocado en servicios
servicios, o también sobre un marco propicio
financieros. Posteriormente, en 1985, los
para la competencia y la inversión dentro de
países miembros de la OCDE reafirmaron,
los mercados nacionales. Nos hemos
mediante la Declaración sobre flujos de datos
enfocado en el canal, no en el mensaje
transfronterizos, su compromiso con los
(contenido) ni en cómo este es manejado y
principios generales establecidos en los
administrado.
lineamientos.
La privacidad de datos es parte de aquello
Luego de 25 años de adoptados los
que podríamos llamar regulación del
lineamientos, prácticamente todos los países
contenido de las comunicaciones. Una parte
miembros de la OCDE cuentan con marcos
importante y sensible, pues, como veremos
legales desarrollados y autoridades
luego, puede impactar en gran medida en el
establecidas con facultades específicas para
desarrollo de la industria.
garantizar la protección de los datos
La preocupación sobre el manejo de personales en el ámbito nacional.
información personal en los flujos
El esfuerzo de la OCDE por establecer un
internacionales de datos electrónicos nace
marco internacional fue seguido por la Unión
desde los inicios de la explotación comercial
Europea, la Organización de las Naciones
de las tecnologías de la información a inicios
Unidas (ONU) y el Foro Asia-Pacífico de
de los años 80. El rápido crecimiento de la
Cooperación (APEC) han desarrollado también
red a nivel mundial creaba un ambiente de
marcos internacionales para la protección de
incertidumbre relacionada con la posibilidad
datos personales.
de utilizar con fines ilícitos la información
personal de los consumidores y usuarios de Por lo general, la protección que se desea
Internet. garantizar mediante estos marcos
internacionales se refiere a que la información
La preocupación sobre la privacidad de las
personal debe ser: (i) obtenida legalmente,
personas y, específicamente, de las
(ii) usada solo para el propósito para el cual
comunicaciones estaba ya incluida en el
fue entregado; (iii) solicitada solo si es
artículo 12 de la Declaración Universal de los
relevante; (iv) actualizada, (iv) accesible; (v)
Derechos Humanos por lo que varios países
mantenida en reserva y (vi) destruida luego
desarrollaron leyes que buscaban regular el
de ser usada.2
uso de la información personal en los flujos
de datos transfronterizos con la finalidad de Dada la relevancia que ha tenido Internet
desde la aparición de la world wide web a
mediados de los años 90, y considerando el
1
Coordinador de Relaciones Internacionales de OSIPTEL. Docente de
crecimiento exponencial del número de
la Especialidad de Ciencias de la Información - Pontificia Universidad
Católica del Perú
2
Privacy and human rigths 2006. EPIC, 2007.

2
usuarios en Internet (estimado en más de
mil millones de usuarios3) se hace necesario
observar la eficacia de estas normas y
autoridades en el contexto internacional.
Por esta razón, la OCDE realizó en el 2006
un estudio que tenía como objetivo evaluar
la efectividad de las leyes y las instituciones
encargadas de su cumplimiento, prestando
atención principalmente a la capacidad para
resolver problemas relacionados con el flujo
transfronterizo de datos personales,
encontrando que existe una brecha entre la
ley y la práctica en muchos de los países.
Estos resultados motivaron la renovación del
compromiso de los países de la OCDE en la
cooperación mutua para atender la
problemática en conjunto. Las
recomendaciones para la cooperación
transfronteriza para la protección de datos
se emitieron en junio de 2007 y buscan
promover el mejoramiento de los marcos
legales domésticos para que faciliten la
cooperación y el desarrollo de mecanismos
internacionales de supervisión y control que
garanticen el cumplimiento de las leyes4.
En el marco de APEC también se viene
discutiendo la necesidad de implementar
marcos de cooperación internacional para
asegurar la protección de datos y para ello
se ha iniciado un proceso de implementación
en el seno del Grupo de Trabajo de
Comercio Electrónico con la finalidad de
implementar la Reglas Transfronterizas de
Privacidad (CBPR por sus siglas en inglés).
Este proceso, del cual el Perú es partícipe, se
inicia en el año 2008 con la implementación
de un conjunto de proyectos que buscarán,
mediante la realización de proyectos piloto,
evaluar las alternativas existentes para un
sistema transfronterizo de protección de
datos.
Cabe señalar, que, más allá de la importancia
de la protección en sí de la información
personal de los ciudadanos, este tema reviste
importancia en términos comerciales y
económicos, principalmente, para los países
en desarrollo que desean atraer inversiones en
forma de servicios tercerizados o también
conocidos como Global Business Process
Outsourcing.
Estos consisten en la provisión remota de
servicios a las corporaciones en forma de Call
Centers, Centros de Procesamiento de Datos,
Centros de Atención y Soporte Técnico, etc.
Un mercado que, según McKinsey & Co. solo
está aprovechado en un 10% y que podría
llegar a significar mas de 110 billones de
dólares en el año 2010.
Dado que estos servicios implican el flujo
transfronterizo de información, será necesario
que los países de la región atiendan los
requerimientos de privacidad de los
potenciales clientes de Estados Unidos, Europa
y Asia-Pacífico y de esta forma aprovechar las
oportunidades de inversión que aparecen
gracias al proceso de deslocalización de las
corporaciones.▪

3
Fuente: Internet World Stats (2005)
4
OECD Recommendation on Cross-border Co-operation in the
Enforcement of Laws Protecting Privacy. OECD, 2007

3
 otorgada por la Unión Europea en materia de
“Seguridad vs. protección de datos; lo que significa que no
existen restricciones a la transferencia
Intimidad: Las dos internacional de datos entre países que tengan
legislación adecuada.
caras de una misma
Sin abundar en detalles respecto de los
moneda” alcances y estructura de la Ley, podemos decir
que la protección de los datos tiene su
Mónica Abalo Laforgia5 fundamento en el derecho a la intimidad,
que el derecho a la intimidad es un derecho
fundamental protegido por los distintos
sistemas jurídicos y Tratados Internacionales
Seguridad y protección de datos
y que la protección de los datos nace

L
a seguridad es un
tema que ocupa y
preocupa a las
organizaciones, Estados
e individuos. Asimismo,
podemos decir que el
concepto de seguridad es
un término relativo, ya
que lo que es seguro en
un determinado
Mónica Abalo
momento para alguna Laforgia
organización, Estado o monica@consultingp
individuo, no lo es para roject.com.ar
otra u otros.
En líneas generales, cuando hablamos de
“seguridad” existe una tendencia a pensar
que hablamos de seguridad física o de
infraestructura; sin embargo, la seguridad
de la información o de los datos es un tema
que debe ser tenido en cuenta y que de
hecho ha despertado inquietudes a quienes
están encargados de elaborar políticas
públicas.
En Argentina, por ejemplo, existe la Ley
25.326 de Protección de Datos Personales,
que fue sancionada en el año 2001 y cuyo
objeto es la protección de todos aquellos
datos de carácter personal asentados en
bancos o bases de datos que excedan el uso
privado y que sean sometidos al tratamiento
automatizado de los mismos. Argentina, por
su parte, es el único país de América Latina
que ha logrado la adecuación internacional
5
Abogada especializada en derecho de las telecomunicaciones. Ha
realizado dos posgrados en telecomunicaciones, así como un curso de
especialización en protección de datos personales y en aspectos
legales del comercio electrónico. Actualmente es directora y socia
fundadora de Consulting Project. También ha trabajo en empresas de
telecomunicaciones de presencia internacional. Miembro de ISOC-Ar
(Capítulo Argentina de Internet Society) www.isoc.org.ar y ha sido
seleccionada por ISOC (www.isoc.org) como Ambassador para
participar en el Foro de Governanza de Internet que se realizará en
Noviembre 12-15 en Río de Janeiro. Ha participado como expositora,
docente y/o moderadora en numerosos Cursos, Eventos y Workshops.
como una herramienta para defender la
intimidad frente al avance tecnológico y
al tratamiento automatizado de la
información.
Por último, podemos decir que el principio de
autodeterminación informativa, es el
punto de anclaje a la protección de los datos,
pues representa el derecho de la persona a
conocer cuál es la información que sobre ella
se almacena y a ejercer el control sobre la
misma a través del consentimiento.
Los datos en la Web
Ahora bien, es perfectamente sabido que a
pesar de la reglamentación vigente, millones
de datos (personales o no) circulan por la
Word Wide Web (www). No sólo eso, muchos
de nosotros somos pasivos acreedores de
créditos o plásticos impresos jamás solicitados
de instituciones bancarias de las cuales no
somos ni fuimos clientes; más aún, ni siquiera
hemos pasado por la puerta del banco en
cuestión. ¿No podría tomarse, acaso, esa
situación como una invasión a nuestra
privacidad?
Analicemos qué sucede con los buscadores.
Cuando uno navega por Internet y visita las
distintas páginas, existe un conocido
mecanismo de recolección de datos
denominado “cookies” que almacenan
información sobre el usuario con el objeto de
construir un perfil del mismo, de manera de
poder ofrecer publicidad de productos o
servicios acorde a sus necesidades. Los
“spyware” o programas espías, también
recopilan información sobre una persona u
organización (usuario) con el objeto de
distribuirlo a empresas publicitarias, pero lo
hacen sin el consentimiento de aquel.

4
Sin bien la existencia de las cookies y su
uso, generalmente no están ocultos al
usuario por lo que éste podría desactivarlos,
también un sitio Web podría emplear un
identificador cookie para construir el perfil
de un usuario determinado y éste no
conocer la información que se está
recolectando sobre él. ¿Qué diferencia había
entonces con el spyware? ¿Cuál es el límite?
El 24 de Junio pasado, la Revista LA NACION
publicaba un artículo titulado ¿Vidas
privadas?, referido a la intención de Google,
el principal buscador de Internet, de
recolectar durante los próximos 5 (cinco)
años tantos datos personales como fuera
posible sobre los usuarios de computadores,
como medio para mejorar la calidad de sus
resultados de búsqueda y de esa forma
permitir a los internautas realizar preguntas
cómo: “qué empleo debo aceptar” o “qué
haré mañana”. En la misma nota, se
mencionaba que la Comisión Europea dirigió
su atención hacia Google, y exigió que la
empresa justificara su política de retener por
el plazo de dos años, datos de direcciones
de Internet y de los hábitos individuales de
búsqueda de los usuarios.
El afán de aprovechar las facilidades y
ventajas que otorgan Internet y los
buscadores hace que se pierdan de vista
aspectos como el principio de
autodeterminación informativa o el derecho
a la intimidad, ya que el hecho de que
alguien deba saber todo sobre nosotros es
un precio demasiado alto a pagar por
acceder a la información.
Asimismo, en Agosto de este año el
Congreso de los Estados Unidos aprobó un
proyecto de ley que permite la escucha de
llamadas telefónicas y la interceptación de
correos electrónicos cursados entre personas
residentes en Estados Unidos y extranjeros,
sin que se requiera una autorización judicial
previa, modificando sustancialmente la
llamada Ley FISA.
En Argentina, en cambio, el 6 de Febrero de
2004 se promulgó de hecho la Ley 25.873
que modificaba el Artículo 45 de la Ley
19.798 de Telecomunicaciones en relación a
la responsabilidad de los prestadores de
servicios respecto de la captación y
derivación de comunicaciones para su
observación remota por parte del Poder
Judicial o Ministerio Público, obligando,
asimismo, a tales prestadores a archivar
dichas comunicaciones por el plazo de 10
5
(diez) años. En el año 2005, la Justicia
argentina declaró la inconstitucionalidad de la
citada ley y su Decreto reglamentario Nº 1563
que permitían el espionaje de los correos
electrónicos y los chats a través de Internet,
por considerar que tales normas son
"manifiestamente irrazonables e
incongruentes con el sistema constitucional
vigente”.
La seguridad y los datos
biométricos
La biometría es una disciplina que estudia y
mide los datos de los seres vivientes. Dentro
de sus usos está lo que conocemos como
“biometría informática” que permite identificar
o verificar la identidad de un sujeto en forma
automática sobre la base de sus
características físicas (como por ejemplo las
huellas dactilares o el iris del ojo humano) o
de comportamiento como ser la firma
hológrafa o el patrón de voz).
A raíz del atentado a las Torres Gemelas del
11 de Septiembre de 2001, se ha expandido
una tendencia en el mundo a utilizar la
biometría informática como una herramienta
para controlar la seguridad de los Estados y de
los miembros de una sociedad.
En Shenzhen, una ciudad de China cercana a
Hong Kong, por ejemplo, se instalarán 20.000
cámaras de videos para controlar el
movimiento de personas en lugares públicos.
No sólo eso, será de uso y portación
obligatoria una tarjeta con un “chip” que
contendrá infinidad de datos de las personas,
además de dirección y teléfono, como ser:
historia clínica, religión que practica, nivel
educativo, entre otros.
Conclusiones
Es indudable que Internet ha cambiado la
forma de relacionarnos y de acceder a la
información. También es cierto que esa misma
“anarquía” que permite vincularnos con
información alojada en cualquier parte del
mundo, es la que favorece acciones muchas
veces ilegales o, cuanto menos, jurídicamente
cuestionables.
El derecho de un Estado a ejercer su poder de
policía para cumplir con la obligación de dar
seguridad a los ciudadanos o el derecho de
acceso a la información, es tan importante
como el derecho que tenemos las personas a
que se respete nuestra intimidad y a que se
proteja adecuadamente nuestra información
para no sufrir ingerencias no deseadas. Sin
embargo, pareciera ser que para poder estar
más “protegidos” o más “informados”,
mayor en la cantidad de datos que deben
poseer de nosotros; muchos de ellos sin que
sepamos que los están recolectando,
almacenando o cediendo a terceros, con lo
que la cadena se hace interminable.
6
Ahora bien, ¿dónde está límite? En la
razonabilidad. ¿Y qué es lo que determina la
razonabilidad? el ordenamiento jurídico
existente. Es por ello que es tan importante el
criterio de los responsables de elaborar de
políticas públicas para que el derecho a la
intimidad, que viene siendo objeto de
protección, aún mucho antes del surgimiento
de la sociedad de la información, no se
transforme en una falacia. ▪
 Para asegurar la información es imprescindible
Salvaguardando la primero identificar los activos de información,
tarea que podría parecer sencilla pero que
toma de decisiones esconde la dificultad de conceptos a veces
poco frecuentes en la terminología comercial o
Mauro D. Ríos6 de servicios de una organización. Activo de
información no es lo mismo que sistema de
información, el segundo puede hacer uso de

L
varios de los primeros. En términos más
a seguridad de la
básicos, suele confundirse la información con
información ha
el software asociado a esta o el que gestiona
sido siempre un
la misma.
tema sobre la mesa en
las áreas directamente Por otro lado la seguridad de la información se
involucradas en su ha digitalizado en demasía, entiéndase bien,
salvaguarda, cuando la información logra ser tratada con
lamentablemente estas acierto en su valor y entendida en su justa
áreas suelen ser las medida, suele tratársela como un activo
tecnológicas, las digital, olvidando que mucha de la información
informáticas, pero Mauro D. Ríos digital en los sistemas fue originalmente
pocas veces se posee mdrios@adinet.com.uy ingresada desde un medio físico como el
una visión más papel, así por ejemplo se toman recaudos
sistémica u organizacional de la información para con una activo digital pero no con la
que provoque el interés sostenido de las información contenida en miles de folios que
áreas comerciales, servicios y por supuesto alimentaron inicialmente los sistemas y están
los mandos medios y superiores. Para la acumulando polvo en estantes o depósitos sin
cima de la pirámide la información suele ser la más básica consideración de medidas de
un producto que refleja únicamente si la seguridad.
empresa o la dependencia pública están
mejor o peor que en un período anterior y si Desde una óptica más gubernamental, la
puede mejorar o empeorar. información está asociada a volúmenes que
son difíciles de darle la justa dimensión, en
La seguridad de la información es un dependencias públicas de Latinoamérica
fenómeno sensible y complejo, que debiera muchas veces el problema más serio es el
estar presente en todo tipo de cultivo de granjas de intereses e información
organizaciones y sobre la mesa en cada restringida, donde resulta complejo que un
reunión donde se fijen las estrategias organismo público pueda ser consciente de
organizacionales. Y ello en el entendido que toda al información a la que debería poder
la información es la base de la toma de acceder. Esto va más allá de la
decisiones, resulta imposible andar sobre interconectividad de las oficinas públicas, otro
paso firme sin la permanente consideración problema endémico en nuestra región. El
de la información disponible para la toma de acceso de la información desde una
decisiones, aquellas estratégicas pero dependencia a otra o desde una tercera suele
también las más operativas y del diario enmarcarse, en obvias burocracias, pero
andar. también en un juego de intereses
institucionales y lamentablemente a veces
personales.
6
Se desempeña como Especialista en Sociedad de la Información para
la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Este problema genera, temo acertar, la
Sociedad de la Información y del Conocimiento (AGESIC inmensa mayoría de los problemas de
www.agesic.gub.uy) de Uruguay, asumiendo entre otras
responsabilidades, las de co-redactor de la Agenda Digital de Uruguay enlentecimiento de los procesos
2007-2008 y el Libro Verde de Uruguay de la SocInfo. Es Analista de
Sistemas, Analista en Marketing, tiene especialización en diseño de
administrativos y la inadecuada toma de
proyectos, estudios en Ciencias de la Educación e innumerables decisiones sobre activos de información a los
cursos. Ha sido director de ICANN AtLarge, coordinador y consultor
para proyectos BID, PNUD y otros, miembro del sub-Grupo de Trabajo
que no se tuvo acceso en tiempo y forma. Y el
Nº13 de los Gobiernos del MERCOSUR. Ha trabajado para el Programa círculo vicioso nos lleva nuevamente a las
de Conectividad Educativa de Presidencia de la República, para el
Instituto para la Conectividad en las Américas (ICA/IDRC). Es miembro consideraciones en la seguridad de esa
fundador de Vit@LIS (cooperación LAC-Europa), miembro de @LIS, información ya que mal se puede resguardar
ICANN, Internet Society, Development Gateway Fundation, Global
Knowledge Partnership, Red Gealc, entre otros. aquel activo de información del cual no se
tiene identificado su carácter, nivel de riesgo o

7
simplemente se desconoce el propio activo
fuera de la institución que lo posee, aquí nos
encontramos con otra encrucijada que es la
incapacidad de los Gobiernos en trazar
Políticas de Estado (transversales) en
materia de seguridad de la información ya
que evidentemente sucede que no todos los
activos han sido considerados.
Si abordáramos el tema de seguridad de la
información desde un punto de vista del
ciudadano, la complejidad es mayor y los
problemas son mayores, el derecho
inherente de cada ciudadano de acceder a
su información personal en poder del
Gobierno suele transitar zonas grises en
cuanto a la privacidad, la intimidad,
eficiencia, seguridad, etc.
Como principio básico, todo Gobierno
debiera tener como objetivo el no requerir a
ningún ciudadano información que ya posee
sobre éste en cualquier dependencia pública
y procurar no utilizar a ese ciudadano como
mensajero gratuito del mismo Gobierno para
circular la información relativa a un proceso
administrativo, aun siendo este proceso de
interés directo del ciudadano.
Para conseguir estos niveles de eficiencia en
cuanto a la calidad de servicios, el Gobierno
necesita un manejo de la información de
manera transversal a la estructura
organizacional, algo que requiere
interconexión, intercambio de información,
vinculación de bases de datos, etc.
Aquí es donde surgen las zonas grises y es
aquí donde el pie debe apoyarse con cuidado
en materia de derechos y deberes. Sin
olvidar que todo el tratamiento de la
información deberá cumplir con estrictos
parámetros de seguridad.
8
Estos dilemas no vamos a pretender
responderlos en estas breves líneas, pero si
dejar en claro que seguridad y privacidad son
dos caras de una misma moneda. En virtud de
lo antes descrito, el tema de seguridad de los
activos de información es materia compleja y
debe ser abordada seriamente, pero más aun,
debe ser abordada de manera de considerar
estos activos independientemente del medio
donde se encuentre almacenada la
información misma, de lo contrario no
podremos garantizar la seguridad que se
supone es el motivo y objeto de nuestras
acciones.
Como primeras conclusiones, es pertinente
tener en cuenta que la identificación de la
información y su nivel de riesgo percibido y
real son otro de los aspectos clave, así por
tanto la confidencialidad deberá ser atendida
más allá de los sistemas informáticos en
general.
La integridad es otro factor que debe formar
parte de la seguridad de la información. La
integridad de la información que se resguarda
es el fundamento del por qué se resguarda, ya
que resguardar información que no posee la
integridad necesaria es tarea fútil.
Y finalmente, volviendo al título que me
convoca en estas líneas, la disponibilidad es
tal vez la mayor de las virtudes atribuibles a la
información. Contar con la seguridad
necesaria pero también la capacidad de
disponer de la información cuándo y dónde se
requiera es la base conceptual de toda política
de seguridad. Por que en definitiva los activos
de información sólo son valiosos si de ellos
puede inferirse que han servido para la toma
de decisiones en el momento preciso, más allá
que la decisión misma pueda ser acertada o
no. ▪
Protección de la
información.
Ciberseguridad,
Regulación y
Gobernanza de
Internet: “Phishing” un
caso más de estudio
Rodrigo de la Parra7, Elizabeth
Cedillo8 y Caroline Chaperón9
Resumen
La seguridad de las redes ha estado en la
agenda regulatoria y de políticas públicas de
una forma u otra desde los primeros días de
la telefonía, con el objetivo de preservar la
red de interrupciones no autorizadas, así
como la privacidad de las conversaciones.
En los últimos años los asuntos de seguridad
en las redes, en la información y en los
servicios, han evolucionado a nuevas
formas, que incluyen una gama más amplia
de problemas. Actualmente, los usuarios de
Internet, particularmente en el ámbito
financiero, están siendo vulnerables ante las
prácticas fraudulentas conocidas como
“Phishing”, por lo que existe una creciente
alerta de política pública tanto en el ámbito
nacional como internacional sobre la
seguridad. En este sentido los gobiernos, así
como la comunidad de Internet, se
encuentran ante el reto de garantizar la
seguridad en las redes, en la información y
en los servicios, hacer prevalecer la
estabilidad en las redes, así como fomentar
y promover Internet para continuar
aprovechando los beneficios que provee en
el desarrollo de las Tecnologías de la
Información y la Comunicación (TICs).
7
Director General de Prospectiva Regulatoria de la Comisión Federal
de Telecomunicaciones.
8
Subdirectora de Análisis de Prospectiva Regulatoria “2” de la
Comisión Federal de Telecomunicaciones.
9
Subdirectora de Evaluación de Prospectiva Regulatoria “1” de la
Comisión Federal de Telecomunicaciones.
9
Rodrigo de la Parra Elizabeth Cedillo
rdelapar@cft.gob.mx ecedillo@cft.gob.mx
Caroline Chaperón
cchaperon@cft.gob.mx
E
l phishing es una técnica de captación
fraudulenta de datos personales y
confidenciales, principalmente
relacionados con claves de acceso a
servicios bancarios y/o financieros. En este
marco, el estafador, conocido como phisher,
se hace pasar por una reconocida empresa
financiera en una aparente comunicación
oficial electrónica, imitada casi a la perfección
en su formato, lenguaje e identidad, para
sustraer información confidencial a sus
usuarios mediante una petición final en la que
se solicita a los mismos la “confirmación” de
determinados datos personales, alegando,
entre otros, distintos motivos, problemas
técnicos, cambio de política de seguridad o
posibles fraudes. Usualmente, estos mensajes
de correo electrónico incluyen enlaces que
conducen “aparentemente” a las páginas web
oficiales de las citadas entidades pero que, en
realidad, remiten a páginas “piratas” mediante
las cuales se realizarán los mencionados
fraudes financieros.
Este caso particular de fraude cibernético se
inscribe en una problemática general de
delitos en la Internet, de los cuales se
identifican, entre otros, los siguientes:
spoofing, scam, spam y pharming, mismos
que tienen como característica común afectar
la confianza y seguridad en la utilización de las
Tecnologías de la Información y de la
Comunicación, (TICs) que son los pilares más
importantes de la Sociedad de
Información10.
Por lo anterior, la comunidad internacional
se encuentra discutiendo temas relacionados
con la ciberseguridad que pretende
garantizar la integridad de la infraestructura
de la comunicaciones, evitando cualquier
tipo de daño y protegiendo contra posibles
ataques cibernéticos (ciberdelincuencia) a
través de la identificación de las amenazas
al sistema, la reducción de su vulnerabilidad
a los daños o ataques externos e
identificando el origen y los autores de los
daños a fin de poder sancionarlos para
promover en línea un ambiente confiable,
seguro y sustentable.
En el caso particular del phishing, cuyo
término proviene de la palabra en inglés
"fishing" (pesca) haciendo alusión al acto de
pescar usuarios mediante anzuelos
atractivos, se han detectado afectaciones de
naturaleza técnica (acceso a la cuenta) y
económicas, considerando que el 92.5%11 de
los casos de phishing se realizan en el sector
financiero.
Por otra parte, el phishing se distingue por
su ilimitada creatividad, su sofisticación y su
naturaleza volátil y efímera12 que dificulta la
identificación del delincuente, de la dirección
IP (por sus siglas en inglés de “Internet
Protocol”) utilizada para llevar a cabo el
delito, y consecuentemente el acceso a toda
información necesaria para iniciar acciones
legales en contra de quienes cometen el
phishing, creando así un reconocido ámbito
de impunidad e incentivos para la
delincuencia organizada.
En este sentido, resulta importante recalcar
que en los últimos meses se ha detectado
un explosivo incremento del phishing que se
vislumbra claramente en las estadísticas
realizadas por el “Anti-Phishing Working
Group” que identificó, durante el mes de
marzo al mes de abril de 2007, un notable
incremento de páginas web fraudulentas13,
pasando de 35,000 a 55,643 en el mundo.
10
Declaración de la Cumbre Mundial de la Sociedad de la Información,
sección C5.
11
http://www.antiphishing.org
12
Las páginas piratas tienen un promedio de vida de 3.8 días, Anti
Phishing Working Group, http://www.antiphishing.org
13
Anti-Phishing Working Group, http://www.antiphishing.org
la Si bien, la seguridad de las redes ha estado en
la agenda de una forma u otra desde los
primeros días de la telefonía, con el objetivo
de preservar la red de interrupciones no
autorizadas, así como la privacidad de las
conversaciones, en los últimos años, los
asuntos de seguridad en las redes, en la
información y en los servicios, han
evolucionado a nuevas formas que incluyen
una gama más amplia de problemas
relacionados con: la privacidad, disponibilidad,
integridad, confidencialidad de la información,
delitos cibernéticos, ataques, fraudes (tales
como, el “phishing”), contenidos ilícitos y
ofensivos, secuestro de portales de Internet y
afectación al interés público de los usuarios
sobre cuestiones de protección de datos
personales.
En este sentido, las razones primarias para el
enfoque creciente a la "ciberseguridad" que se
refiere a todo lo que concierne a la seguridad
de los sistemas de información conectados en
red y comprende la seguridad de los
intercambios electrónicos y de la
infraestructura subyacente de
telecomunicaciones14, se relacionan con una
combinación de la creciente utilización de la
infraestructura de las TICs y una dependencia
cada vez mayor con respecto a Internet, que
es un ambiente abierto de comunicación y, por
tanto, “relativamente menos seguro” que las
redes de telecomunicaciones tradicionales.
En este escenario, resulta relevante identificar
qué elementos continúan integrándose al
concepto que hoy en día se conoce como
“Gobernanza” de Internet, mismo que se
discute en el ámbito internacional.
Inicialmente dicho término se acotaba
erróneamente a temas sobre la administración
de los recursos de direccionamiento de la
Internet, números IP y los nombres de
dominio; afortunadamente actualmente la
agenda global sobre Gobernanza de Internet
se ha ampliado para incluir, entre otros
temas, los costos de interconexión, el
desarrollo de infraestructura, los derechos de
propiedad intelectual, la privacidad y
protección de datos, el multilingüismo y como
se observa la ciberseguridad. Por lo que
podemos decir que aún hay más preguntas y
respuestas en el análisis.
14
Unión Internacional de Telecomunicaciones. 2004.
10
Así, ante el surgimiento de nuevas prácticas
fraudulentas que se llevan a cabo a través
de Internet, cada vez con más frecuencia se
observa que las partes afectadas, en este
caso las instituciones financieras, acuden a
las autoridades en busca de “alguna”
solución. Esto nos hace reflexionar sobre si
los gobiernos debieran acelerar su análisis y
definir su posición en torno a la
ciberseguridad en lo particular y en lo
general respecto de la “Gobernanza de
Internet”. En tanto, no se define una política
nacional al respecto, las partes afectadas
asisten, cada vez con mayor frecuencia, al
regulador de las telecomunicaciones, que en
muchos de los casos no cuenta con las
facultades requeridas para poder identificar,
prevenir o sancionar prácticas fraudulentas
que se ejecutan a través de la red de redes.
Al respecto, cabe mencionar que típicamente
las facultades de los reguladores de
telecomunicaciones versan exclusivamente
sobre la infraestructura y no sobre los
contenidos. Los fraudes a través de medios
de telecomunicaciones no son una novedad.
A través del teléfono se ejecutan actos
fraudulentos o delictuosos como la
extorsión, el secuestro, obtención maliciosa
de información personal, entre muchos
otros. En estos casos, las agencias de
regulación colaboran con las autoridades de
procuración de justicia para proveer
información sobre el operador de
telecomunicaciones que presta el servicio
desde donde se configura el delito. Es decir,
a través de la numeración (que es asignada
por el regulador) se puede determinar a
qué operador corresponde determinado
número.
No obstante, la información específica sobre
el cliente que contrató el servicio no obra en
manos del regulador y en muchos casos, al
ser éste una dependencia administrativa, no
tiene las facultades para solicitar de forma
vinculante esta información al operador.
Comúnmente este acto de autoridad es
llevado a cabo por la autoridad que persigue
el delito.
Si intentáramos hacer un símil sobre los
fraudes que se llevan a cabo utilizando
medios tradicionales de comunicación como
la telefonía y aquellos que se observan en
Internet, no habría muchas diferencias. Más
aún, en el caso de Internet, las direcciones
IP no son asignadas por las autoridades
nacionales, por lo que los reguladores no
11
son la fuente centralizada de esta información.
La información sobre el proveedor de servicios
de Internet al cual le corresponde
determinada dirección IP, puede obtenerse
con cierta sencillez a través de herramientas
de fácil acceso para los usuarios. Por lo que
toca a la información del usuario que utiliza
maliciosamente una dirección IP, sería la
autoridad que investiga el delito la única
facultada para pedir la información a través de
un acto de autoridad.
La gran diferencia es que las direcciones IP
pueden o no encontrarse dentro de los límites
de una soberanía nacional, lo que dificultaría
la persecución del delincuente y la aplicación
de la sanción correspondiente. Así pues, el
phishing es otro caso más que evidencia que
las herramientas tradicionales de regulación
nacional no son suficientes o efectivas para
tratar con este tipo de fraudes que se realizan
por la Internet. En este caso, deben existir
instrumentos de cooperación y coordinación
internacional entre diversos actores, entre
ellos, por supuesto los reguladores de
telecomunicaciones, actuando quizás más
dentro del marco de la Gobernanza que el de
la propia regulación.
En este sentido, con la finalidad de fomentar y
promover la estabilidad y seguridad de
Internet, es necesario actuar desde el ámbito
de la cooperación, coordinación, colaboración,
hasta la formulación de políticas o regulación
tanto a nivel nacional como internacional, para
continuar aprovechando los beneficios que
dicha red provee en el desarrollo de las TICs a
fin de hacer prevalecer la estabilidad en las
redes minimizando o eliminando las amenazas
en materia de seguridad tanto de la
información como de las redes.
En el caso particular del phishing se observan
iniciativas interesantes para disminuir la
ocurrencia de estos delitos. Tomando en
cuenta que el phishing utiliza ligas a portales
de instituciones financieras virtuales que, en
algunos de los casos, están asociados con el
registro de un nombre de dominio, se destaca
el caso de Brasil donde recientemente crearon
un dominio “b.br”15 exclusivo para los bancos
para garantizar más seguridad a los usuarios
de la banca por Internet.
15
http://www.nic.br/imprensa/clipping/2207/midia281.htm
Adicionalmente a las acciones que se puedan
ejecutar del lado de la oferta (operadores de
acceso, ISP’s y proveedores de aplicaciones,
servicios y contenidos) se deben considerar
iniciativas tendientes a incrementar el
conocimiento, educación, toma de
conciencia y desarrollo de una cultura sobre
seguridad, por parte de los usuarios. Al estar
estos más informados sobre las prácticas
delictivas se presumiría una disminución en
la incidencia de estos delitos.
Por último, también a nivel internacional
existe una creciente alerta de política pública
sobre la ciberseguridad, por ejemplo, en el
caso del Foro de Cooperación Económica
Asia-Pacífico (APEC) en el Grupo de Trabajo
de Telecomunicaciones e Información
12
(APEC-TEL) se promueve en dicha región la
creación de CERTs (por sus siglas en inglés,
Computer Emergency Response Team) que
comprende la creación de una autoridad
central que cuenta con las facultades para
planear y vigilar las políticas públicas en
materia de seguridad. También se destaca las
actividades del Corporación para la Asignación
de Nombres y Números en Internet (ICANN)
cuyos objetivos son el desarrollo de políticas
alrededor del direccionamiento de Internet,
con el fin de hacer prevalecer su estabilidad
operativa y la seguridad de la red, entre otras
actividades, han desarrollado una base de
datos de quienes registran dominios (.com,
.int) lo que permite la fácil identificación de
quienes están atrás de algún nombre de
dominio16▪
16
http://www.whois.iana.org/
 muchas y complejas. La encriptación tiene
Seguridad de VoIP: La que ser vista como una parte de una solución
completa de una red segura.
encriptación no es una
Panacea Las amenazas para VoIP
Kevin Mitchell17 Muchos artículos han sido publicados
explicando las diferentes amenazas para VoIP.
Las amenazas principales, en orden

A
descendente, se resumen en:
unque aberturas
y ataques de Ataques Denegación de Servicio (DoS):
VoIP parecen Ataques maliciosos diseñados para inutilizar
raro o de baja un elemento de la red, sobre cargándolo con
ocurrencia (o quizás no exceso de llamadas o solicitudes de servicio.
son publicados), Adicionalmente, ataques no maliciosos (Ej.
últimamente existe un inundación de registros después de una corte
enfoque de seguridad de energía o un exceso de volumen de
de VoIP. Incluso, en la Kevin Mitchell llamadas como tele votación para American
edición de octubre kmitchell@acmepacket.co Idol) pueden causar alzas en las tasas de
2006 de IMS Magazine, m señalización de llamadas por segundo que
Seamus Hourihan, el exceden lo que la infraestructura puede
vicepresidente de mercadeo y gerencia de suportar, generándose así una condición en la
productos de Acme Packet, ha sido autor de red similar a un ataque DoS malicioso.
un reportaje enfocado en los defectos de las
arquitecturas de la próxima generación Los virus y malware: Los Virus de
como 3GPP IMS y ETSI TISPAN respecto a la computador, gusanos, virus troyanos y otros
seguridad. Mientras grupos estándares han “malware” pueden infectar teléfonos,
definido los elementos funcionales e softswitches u otros dispositivos IP – igual
interfases diseñadas a entregar como cualquier otro computador y/o servidor
comunicaciones IP interactivas, todavía no – pueden degradar la calidad del servicio o
se han definido por completo las funciones interrumpirlo por completo. Mientras los
de protección para la base o core de IMS. dispositivos siguen siendo más complejos con
Por lo mismo, la seguridad depende distintos sistemas operativos, malware
fuertemente de los productos seleccionados también sirve como una forma de tomar el
y como estos están desplegados en la red. control de los dispositivos y maliciosamente
lanzar ataques DoS sobre enlaces encriptadas.
La encriptación es un elemento que los
grupos estándares—3GPP, ETSI y Fraude de servicio: Intrusión maliciosa o
PacketCable— si incluyen como parte de sus robo de servicio se pueden realizar a través de
arquitecturas. Aunque la encriptación es un usuario no autorizado que logra acceso a la
una parte clave de cualquier red segura de red VoIP aparentando ser un usuario
VoIP, no resuelve todos los problemas. Hay autorizado o tomando el control de un teléfono
muchas amenazas y tipos de ataque que la IP valido e iniciando llamadas salientes. Otras
encriptación no puede prevenir. Las opciones incluyen robo de ancho de banda o
amenazas son reales y las soluciones son de llamadas de voz convertidas en llamadas
de video sin autorización (o compensación al
proveedor de servicio).

17
Dirige las relaciones con analistas en la industria, inteligencia
Robo de identidad: Incluye el uso de
competitiva y el mercadeo de soluciones de representantes e “phishing” y “man-in-the-middle” para adquirir
integradores de Acme Packet. Kevin se integró a Acme Packet
después de ocho años con Infonetics Research donde tuvo el cargo de
información de identificación de un suscriptor
Analista Principal, director general de la empresa, gerente de y así tener acceso no autorizado a los servicios
productos y analista de oportunidades del mercado. Fue responsable
para el análisis y consultaría, desarrollo de productos y dirección e información.
estratégica de varias áreas como enrutamiento y IP/MPLS, VoIP, IMS y
capex de los proveedores de servicio. Escribió varias artículos y Escuchar a escondidas: La habilidad de
reportes y ha presentado análisis de investigación en varias ferias y
conferencias de la industria. escuchar, grabar o redireccionar llamadas de
VoIP es posible así como lo es con las
llamadas por la red conmutada. Esto es
preocupante no solamente por razones de

13
privacidad, sino también por que la
información sensible puede ser
comprometida y explotada.
Spam sobre Telefonía por Internet
(SPIT): La entrega de llamadas o correos
de voz no solicitados pueden inundar redes,
molestar suscriptores y disminuir la utilidad
de redes VoIP.
El alcance de la encriptación
La encriptación es un elemento necesario
para cualquier solución de seguridad, pero
no puede mitigar todas de las amenazas
previamente mencionadas. Las cuatro
funciones de la encriptación son:
1. Autenticación: verificación de
identidades de los que envían
información (por firmas digitales o
llaves), lo que disminuye el robo del
servicio, ya que son los proveedores del
servicio que pueden autorizar a los
suscriptores legitimas a hacer uso del
servicio.
2. No renegación: Se garantiza que el
que envía el mensaje, después no puede
denegar el acto y el recipiente no puede
denegar la recepción de dicho mensaje.
Este funcionamiento tiene un rol de
evitar fraude de servicio.
3. Integridad: Asegura que el mensaje no
fue alterado durante la transmisión que
previene la modificación del mensaje y
también ataques tipo “man in the
middle”.
4. Confidencialidad/privacidad: Asegura
que la información es accesible
únicamente por la persona autorizada
(normalmente el que envía y el que
recibe) que asegura privacidad del
usuario y previene el robo de identidad.
Existen varias opciones de encriptación de
VoIP, incluyendo el reconocido IP Security
(IPSec), Transport Layer Security (TLS) y
Secure Real Time Transport Protocol (SRTP).
Sin embargo, no hay una respuesta
definitiva de los fabricantes de dispositivos y
proveedores de servicio y empresas
grandes, que sería la opción favorecida:
• SIP-TLS para señalización solamente
• SIP-TLS para señalización y SRTP para
el media
• IPSec para señalización y el media
• IPSec para señalización y SRTP para el
media
14
• Esquemas propietarios para señalización y
el media (Ej. Skype)
Cada uno de estos protocolos tiene sus
propias opciones de autenticación y sus
algoritmos de encriptación y mecanismos de
intercambio de llaves. Debido a estas
diferencias, existen debilidades significantes
asociados con el desempeño, escalabilidad,
interoperabilidad y habilidades de gestión
entre los protocolos. Por ejemplo, IPSec es el
más versátil, pero más aun intensivo respecto
a los recursos del CPU, de los protocolos
porque se permite la encriptación de la
señalización solamente o una combinación de
señalización y el medio. Por lo mismo, la
dependencia de IPSec en IKE PKI para el
intercambio de llaves es muy compleja y un
desafío para escalabilidad y para la gestión de
la red.
El uso de la encriptación también provoca dos
temas adicionales: 1) ¿Que necesitamos
encriptar? la señalización, el media, o ambos,
y 2) ¿Donde se tiene que hacer la
encriptación? La señalización VoIP es mas
importante codificar porque éste provee una
forma de rastrear conversaciones especificas
junto con sus contextos – el quién, cuándo y
dónde de la conversación. Sin el contexto, el
contenido del media es menos útil, por que no
se puede asociar con los participantes de la
llamada, especialmente cuando un “Back to
Back User Agent” (B2BUA) esta utilizado en la
red del proveedor de servicio, haciendo que
toda el media aparezca terminada por solo un
punto. Con respecto a donde usar la
encriptación, los proveedores de servicio
deben balancear el riesgo contra el costo y
desempeño. El riesgo puede ser definido por
identificación de las partes “confiadas” de la
red y la naturaleza de las comunicaciones. La
encriptación puede ser desplegada en los
siguientes puntos de la red:
• Dispositivo a dispositivo
• Dispositivos dentro del LAN (cableado o
inalámbrico) hacia la frontera del WAN
• Frontera WAN hacia la frontera de la red
del proveedor de servicio o frontera WAN a
otro sitio.
• Dentro de la red interna del mismo
proveedor de servicio.
• Frontera de interconectividad entre
proveedores de servicio.
Para proveedores de servicio, la forma más
rentable y con menos impacto en términos de
los recursos de la red, es dejar que los
dispositivos hagan la encriptación en ambos
lados.
Límites y debilidades de la
encriptación
La encriptación no puede autorizar el uso del
servicio, ocultar o controlar el acceso a los
elementos de la red, controlar el flujo de
mensajes de señalización o paquetes RTP o
inspeccionar paquetes para elementos
maliciosos. La encriptación solo no puede
prevenir ataques DoS o pérdida del uso de la
red y degradación de la calidad de las
llamadas debido a sobrecargas no
maliciosas. Su rol en proveer una
arquitectura de autenticación es clave en la
validación de usuarios legítimos, pero
usuarios válidos también pueden lanzar
ataques DoS – a propósito o a través de un
dispositivo comprometido. El
funcionamiento normal de encriptación
asume una vez que el dispositivo esta
autenticada, se está “comportando bien”,
que tal vez no sería el caso para un
dispositivo infectado o comprometido. La
encriptación no puede monitorear ni
reaccionar al comportamiento de los
dispositivos.
La encriptación es limitada por las
capacidades de los dispositivos. Los
dispositivos pueden quedar infectados y
pueden transmitir virus o malware por
túneles autenticados o, si no tiene
aceleración de hardware, pueden ser
afectados por el procesamiento requerido en
la generación y encriptación de las llaves.
Además, proveedores de servicio deben
considerar el costo de la encriptación en la
red respecto al desempeño, escala y
presupuesto capital. No es gratis y la
complejidad de la encriptación requiere
recursos de los procesadores en los
elementos de la red, afectando sus
habilidades de entregar servicio. La
encriptación dentro de la red está mejor
implementada en el hardware para que
escale hasta cientos de miles de sesiones,
sin degradar la calidad de las llamadas.
Adicionalmente, la gestión de las llaves de
encriptación puede ser muy costo y
complejo.
15
La seguridad de VoIP requiere un
enfoque completo
Ataques DoS, uno de las amenazas mas
importantes para las redes de proveedores de
servicio, no son prevenidos totalmente por la
encriptación. Un modelo de “confianza
dinámica” para fortalecer la autenticación
inicial usando encriptación provee mayor nivel
de protección. Para prevenir ataques DoS y
sobrecargas no maliciosas, los dispositivos en
el borde de la red que cuentan con listas
dinámicas de acceso vinculadas a las sesiones
individuales, pueden ser utilizados para
proteger la red contra dichos ataques. El
vínculo entre la sesión y la red está basado en
el comportamiento del dispositivo. Estos
elementos, complementados con control de
acceso basado en hardware y con políticas de
límites de ancho de banda y de velocidad,
están diseñados para detectar los ataques en
el borde de la red para evitar que afecten el
centro de la red de servicio. Los elementos en
el borde debe tener la habilidad de protegerse
a ellos mismos tanto como los equipos en el
centro de la red VoIP o IMS – los equipos que
están entregando el servicio al cliente.
Una estrategia completa a la seguridad
también involucra ocultamiento de topología y
NAT doble de Capa-3 en el borde de la red,
para que los equipos internos de VoIP tengan
direcciones privadas para que sean fuera del
alcance a direcciones fuera de la red central
del proveedor de servicio. La separación de
las redes internas del proveedor – ocultando y
separando la topología de otros proveedores
(peers) y los suscriptores – está diseñada
para hacer más difícil un ataque a la
infraestructura del proveedor y prevenir el uso
de SPIT para atacar suscriptores individuales.
El desarrollo de un esquema de seguridad
completa debe considerar otros factores
como:
• La habilidad de diferenciar entre
inundaciones de registros legítimos y
maliciosos para que suscriptores pueden
reconectar rápidamente al servicio, pero
prevenir ataques DoS.
• Separación de VPN para mantener el
aislamiento entre VPNs para clientes
corporativos.
• Hacer anónimo la información del usuario
para proteger la privacidad del suscriptor.
• Inspección de paquetes VoIP y eliminación
de anexos para evitar los virus y malware.
• Monitorear, y reportar ataques de
seguridad, información del atacante y
proveer historiales de datos para
investigación.
Idealmente, estas habilidades deben ser
entregadas a toda velocidad para no agregar
retardos a la señalización y el medio o
afectar la calidad de la llamada. Se requiere
dispositivos diseñados para esta
funcionalidad y para el procesamiento de
encriptación y prevención de ataques DoS.
Conclusión
La encriptación es un elemento clave para la
seguridad de VoIP y está definido por una
cantidad de arquitecturas de la próxima
generación.
16
Tiene un rol importante en prevención de
fraude, asegurando la privacidad de los
usuarios y proporciona un método para
diferenciar entre los suscriptores legítimos y
los hackers. Sin embargo, el diseño de
seguridad de VoIP no termina allí. La
seguridad completa de VoIP debe contar con
más herramientas que la encriptación (IPSec,
TLS o SRTP) resuelve. Hay amenazas que
otras tecnologías— como listas de control de
acceso, límites de ancho de banda y velocidad
de la señalización, y ocultamiento de
topología—están diseñadas a enfrentar.
Todos estos elementos, juntos con aceleración
por hardware, deben ser considerados en el
desarrollo del una estrategia completa de la
seguridad. La solución debe permitir la
escalabilidad de la red sin afectar la calidad de
llamadas legítimas. ▪
 ISSN 1815-7017

L@tin.tel
Revista del Foro Latinoamericano de Entes Reguladores de Telecomunicaciones
REGULATEL

Presidente
Ceferino Namuncurá Interventor (CNC – Argentina) Hasta Nov 2007
Oscar Stuardo Chinchilla (SIT – Guatemala) A partir Nov 2007

Secretario General
Gustavo Peña Quiñones

Comité Editorial
Néstor Chúmbita (CNC - Argentina), Jorge Bossio (OSIPTEL - Perú), Camilo Botero (REGULATEL)

Redacción y Estilo
Camilo Botero (REGULATEL)

ce_revista@regulatel.net

Los puntos de vista expuestos en los artículos reflejan exclusivamente la opinión de sus autores, por tanto, no
representan en caso alguno el punto de vista oficial de REGULATEL ni de la Comisión Europea ni de los Entes
Reguladores.