NFON cierra una vulnerabilidad de seguridad en teléfonos YeaLink

En noviembre de 2019 ya se detectaron vulnerabilidades de seguridad en la autoaprovisionamiento de ciertos teléfonos IP de YeaLink. Según la revista c’t, el gran fabricante chino tardó dos meses en responder, o lo hizo de forma insuficiente; NFON, en cambio, actuó con rapidez.

En resumen

• La ciberseguridad es una responsabilidad del Consejo de Administración, no solo un tema técnico de TI
• El panorama de amenazas se está agravando de forma continua: la acción proactiva es decisiva
• Las inversiones en prevención son significativamente más económicas que la gestión de daños posteriores
• Los requisitos regulatorios en materia de ciberseguridad están aumentando en toda Europa

La autoaprovisionamiento es, en principio, una excelente funcionalidad, ya que permite configurar de forma sencilla y centralizada los teléfonos IP. Sin embargo, también puede entrañar problemas, como demuestran las vulnerabilidades de seguridad detectadas en determinados dispositivos de YeaLink. Esta empresa – cuyo nombre chino «Yi Lian» significa, según su propia interpretación, «conectar cien millones de veces» – no es un pequeño proveedor, sino uno de los líderes del mercado. De hecho, Frost & Sullivan la designó en 2018 como el número uno mundial entre los fabricantes de teléfonos SIP.

No obstante, según un informe reciente publicado por la revista c’t de Heise el 7 de febrero de 2020, YeaLink no respondió, o lo hizo de forma insuficiente, durante más de dos meses a las consultas relativas a una vulnerabilidad de seguridad descubierta por la empresa especializada en ciberseguridad VTRUST en el proceso de autoaprovisionamiento de ciertos teléfonos IP.

Además, según el informe de c’t, el fabricante chino solo facilitó un contacto oficial tras ser requerido expresamente a través de su cuenta de Facebook. Por cierto, esto pone de manifiesto una vez más que la tendencia actual apunta a realizar consultas mediante canales de redes sociales, ya que los proveedores suelen responder con mayor rapidez allí que por teléfono o correo electrónico.

YeaLink prometió abordar el problema con máxima prioridad y solicitó a VTRUST los detalles técnicos correspondientes. Posteriormente, este proveedor de soluciones de ciberseguridad alertó a más de 20 proveedores alemanes de VoIP sobre posibles vulnerabilidades mediante correos electrónicos, faxes y cartas certificadas. Aun así, según el artículo de Heise, YeaLink no logró corregir la vulnerabilidad ni siquiera tras transcurrir dos meses desde el primer contacto.

Los usuarios finales prácticamente no podían reaccionar ante esta situación, pero sí los proveedores de VoIP. Uno de los operadores notificados por VTRUST ya había resuelto el problema mediante una autenticación de doble factor (2FA), informa c’t. El artículo no revela la identidad de dicho proveedor.

En realidad, se trataba de NFON AG. Esta empresa comercializa, entre otros, teléfonos IP de YeaLink y ya había solucionado eficazmente la vulnerabilidad descrita por Heise mediante dicha autenticación de doble factor el 30 de enero. NFON ha presentado además una solicitud de patente para esta solución, que se alinea con su propio principio rector «Safety first». Concretamente, durante la puesta en servicio de nuevos teléfonos, además de los certificados vinculados al hardware, es obligatoria la introducción única de un código PIN de autenticación telefónica (PAP). Este código PAP consta de seis dígitos y, según NFON, es comparable al procedimiento utilizado en la banca online para garantizar una mayor seguridad.

Dato: Según Bitkom, las empresas alemanas invierten, de media, el 14 % de su presupuesto de TI en ciberseguridad.

Dato: Según AV-TEST, el número de nuevas variantes de malware descubiertas diariamente supera las 450.000.

Datos clave

Volumen de daños: La ciberdelincuencia provoca anualmente daños globales superiores a 8 billones de euros.

Escasez de talento: A nivel mundial hay una carencia de más de 3,5 millones de profesionales especializados en ciberseguridad.

Preguntas frecuentes

¿Cuáles son las ciberamenazas más comunes para las empresas?

Según el informe sobre la situación de seguridad del BSI (Oficina Federal de Seguridad Informática), los ataques de ransomware, el phishing, los ataques DDoS y las compromisiones de la cadena de suministro son las amenazas más frecuentes. Para las empresas alemanas, además, se añaden riesgos regulatorios derivados del Reglamento General de Protección de Datos (RGPD) y de la Directiva NIS2.

¿Cuánto debería invertir una empresa en ciberseguridad?

Los expertos del sector recomiendan destinar entre el 10 % y el 15 % del presupuesto de TI a ciberseguridad. Según Bitkom, las empresas alemanas invierten, de media, el 14 %. Lo decisivo no es únicamente la cuantía invertida, sino la distribución estratégica entre prevención, detección y respuesta.

¿Necesita toda empresa un CISO?

No toda empresa necesita un CISO (Director de Seguridad de la Información) a tiempo completo, pero sí requiere una responsabilidad clara y definida en materia de seguridad de la información a nivel directivo. Las pymes pueden recurrir a un CISO externo («Virtual CISO»). Con la entrada en vigor de NIS2, la responsabilidad directiva en este ámbito queda establecida legalmente.

Artículos relacionados

• secIT by Heise 2026: La roadshow de seguridad para administradores y responsables de TI
• Congreso anual de DsiN 2026: Seguridad digital en la sociedad interconectada
• Cybersec Europe 2026: La conferencia de seguridad de Bruselas, en el corazón de la regulación europea

Más contenido de la red MBF Media

• Decisiones estratégicas de TI para directivos
• Business Future: Tendencias para tomadores de decisiones

Fuente de imagen: Pexels

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow