La OTAN utiliza Asterisk como sistema de comunicaciones seguro
Todos los que trabajamos con Asterisk destacamos su flexibilidad, la ventaja de disponer del código fuente, la rapidez de respuesta en la corrección de fallos y la seriedad de sus desarrolladores, la gran cantidad de documentación disponible y una comunidad siempre dispuesta a ayudar, pero las empresas suelen ver otras ventajas como el coste general frente a cualquier otra solución comercial, la facilidad de implantación, el soporte técnico especializado, su gran capacidad de adaptación a los objetivos requeridos, y la utilización de estándares que se convierte en una gran oferta de dispositivos compatibles de todo tipo y de cualquier precio.
No obstante, existe otro tipo de «usuarios» donde no les importa tanto el coste general pero sí les importa sus prestaciones y su capacidad de adaptación. Disponer del código fuente y poder modificarlo, adaptarlo y personalizarlo a su gusto, así como disponer en tiempo real de todas las novedades a medida que van apareciendo, y poder revisar punto por punto todas las líneas de código para verificar que todo es tan seguro como se puede. Estos usuarios no son los más comunes, pero sí uno de los más exigentes. Uno de estos «usuarios» es la Organización del Tratado del Atlántico Norte, también conocida como OTAN o NATO que, tras buscar un sistema de comunicaciones seguro y que soporte los protocolos especiales que utilizan los distintos departamentos de defensa, el Pentágono y demás organismos que requieren de especificaciones particulares, han encontrado en Asterisk su «framework» para poder desarrollar todo lo necesario para sus requerimientos. Uno de esos requerimientos son los protocolos SCIP (Secure Communications Interoperability Protocol, no confundir con Simple Conference Invitation Protocol) para la transmisión de voz sobre IP, es decir, un protocolo de VoIP tan seguro que, a pesar de ser un estándar, es tan reducido su utilización e implantación que pocos sistemas logran implementarlo y por lo tanto su uso es tan restringido como escaso, pero Asterisk, al disponer de todo el código disponible libremente, han podido desarrollar estos protocolos y otros más para soportar los sistemas de cifrados y seguridad mínimos para las comunicaciones de estos organismos.
Esto no significa que Asterisk tenga soporte para SCIP (lo que seguramente hayáis escuchado alguna vez como «canal seguro»), pero en este caso Asterisk sirve como «framework de desarrollo« para implementar un protocolo no precisamente comercial ni de uso «general», de hecho la OTAN utiliza el protocolo SIP como sistema general de comunicaciones y SCIP para aquellos casos en los que tenga que realizar llamadas seguras con un cifrado y seguridad «extra» que el SRTP, el TLS y diversos sistemas de túneles cifrados no son suficiente.
Para la mayoría de las comunicaciones que requieren seguridad, el soporte de SIP bajo TLS como protocolo de señalización, SRTP para cifrado de las tramas de audio RTP y algún otro protocolo como ZRTP junto con terminales IP y softphones que soporten este protocolo cifrado, es más que suficiente para la gran mayoría de casos. En otros casos más extremos, toda la comunicación suele ir tunelizada con uno o varios cifrados fuertes incluso con sistemas propios para evitar que su «proliferación» por otros organismos lleguen a manos de personas indebidas.
Este artículo es más una anécdota que a más de uno le parecerá interesante y servirá para conocer cómo funciona la VoIP en estos lugares tan «especiales» donde lo primero que la gente piensa es que detrás se encuentran marcas conocidas y ámpliamente publicitadas, no obstante, cuando la seguridad nacional es un requisito imprescindible, esta seguridad no puede, ni debería, estar en manos de una única empresa, por muchos documentos que esta firme, ya que la seguridad de una nación no conoce amigos.
Los gobiernos de muchos países, siguen utilizando software propietario, a la prensa se le llena la boca hablando de millones de euros en sistemas operativos cerrados y cuyo propietario es una empresa conocida por sus «agujeros de seguridad», por facilitar datos al gobierno de los EEUU y por haber «ayudado involuntariamente» a los hackers para que, aprovechando sus fallos de seguridad, poder atacar a su competencia [ref.]. Aquí en España nos gastamos millones en sistemas operativos propietarios, millones en software cerrado cuyo verdadero comportamiento únicamente lo conoce el programador último que programó la acción al pulsar «ese botón» y el analista de calidad (en el mejor de los casos) que verificó y certificó su comportamiento antes de ponerlo en producción ante miles de sistemas que gestionan los datos de los ciudadanos.
El software libre permitiría añadir transparencia a estos sistemas, disponer de personas independientes capaces de ver qué hace, cómo lo hace e incluso participar en mejorar su seguridad, su comportamiento. Con este artículo, se demuestra que la OTAN tiene los pies en su sitio, que no se fía de nadie y nadie mejor para organizar su propio sistema que ellos mismos. La OTAN tiene dinero y se ve que lo saben gestionar con cabeza (por lo menos, en este tema), los gobiernos también tienen dinero, pero prefieren despilfarrarlo en otras cosas y a cambio, no complicarse la existencia implementando un sistema propio basado en software libre, prefieren gastar más dinero y poner los datos de los ciudadanos en manos de una empresa extranjera.
Más información: Open Framework for the NATO Secure Voice Strategy [PDF]