Ninguna plataforma de video-llamadas es segura!!!, analicemos.

--
Spread the love

Índice

Introducción
Cada aplicación es vulnerable de forma diferente.
Google Meet y Google Duo
Teams
WebEx Meetings
WhatsApp
Zoom
ESET Latinoamérica
¿Cuál elegir?

Introducción

La cuarentena ante el Covid-19 ha forzado a cerca del 60% de la población económicamente activa a trabajar desde casa, y muchos han optado por el uso de herramientas de videoconferencias en la nube para la comunicación laboral; sin embargo, en las últimas semanas Zoom, se ha visto en el centro de críticas por sus relajadas medidas de seguridad y el riesgo que representa para los usuarios.

Aunque la firma, dirigida por Eric Yuan, nombró al exjefe de seguridad de Facebook, Alex Stamos, como asesor de esta iniciativa, un reporte del Equipo de Respuesta ante Incidentes de Seguridad Informática del Ministro del Interior de Chile (CSIRT) advirtió que tanto Zoom, como otras apps, representan un riesgo si no se toman las medidas necesarias y ninguna está 100% libre de vulnerabilidades.

“A la fecha, no existen herramientas sin vulnerabilidades, en todos los softwares han existido pero en todas ellas se han subsanado”, citó el reporte del CSIRT.

Otros proveedores de ciberseguridad como Kaspersky, Checkpoint y Panda Security concuerdan con el escenario que vulnerabilidades que se muestran en las herramientas de videoconferencia.

índice

Cada aplicación es vulnerable de forma diferente.

El CSIRT explicó que tras analizar ocho de las plataformas punteras en este segmento, como Zoom o Hangouts de Google, vio diferentes deficiencias de ciberseguridad en cada una; sin embargo, reconoció que las empresas están corriendo procesos para arreglar dichas fallas.

A detalle, esto fue lo que presentó el organismo por cada plataforma:

Hangouts y Meet de Google: presentan vulnerabilidades asociadas al sistema operativo Android que es su soporte principal.
Zoom Meeting: presenta cinco vulnerabilidades registradas como CVE que, de no estar mitigadas en la versión utilizada, pueden comprometer la seguridad de la información.
GoToMeeting: presenta solo una vulnerabilidad CVE, registrada en 2014.
Microsoft Skype: presenta seis vulnerabilidades CVE en versiones anteriores o iguales a 2017.
Microsoft Teams: no presenta vulnerabilidades CVE registradas a la fecha.
Webex de Cisco: presenta nueve vulnerabilidades CVE registradas para versiones anteriores o iguales a 2017.

Sin embargo, luego de que se dieran a conocer algunos problemas de seguridad con estas plataformas muchos tienen desconfianza al utilizarlas. Por ello es importante aprender a configurarlas.

Un equipo de la firma de ciberseguridad de Kaspersky se dio a la tarea de evaluar los mecanismos de protección de datos de las plataformas de videollamadas más populares y comparten algunos tips para utilizarlas.

índice

Google Meet y Google Duo

Entre las ventajas de Meet, el proveedor cita una infraestructura fiable para el procesamiento de datos, cifrado (aunque no de extremo a extremo) y un conjunto de herramientas de protección. Como la mayoría del resto de productos empresariales, G Suite, incluido Google Meet, cumple con los estándares de seguridad avanzados y ofrece opciones de configuración y gestión de derechos de acceso entre sus configuraciones de privacidad.

A su vez, la aplicación móvil Google Duo protege los datos con un cifrado de extremo a extremo. No obstante, se trata de una aplicación de videoconferencia diseñada para usuarios particulares, no para empresas. Sus conferencias solo pueden admitir hasta 12 participantes.

Posibles vulnerabilidades

“Además de algunos mensajes que nos recuerdan que Google recopila los datos de los usuarios y que, por tanto, puede ser una amenaza para los secretos comerciales, no pudimos encontrar información concreta sobre el rendimiento de seguridad de estas aplicaciones de videoconferencia. Eso no quiere decir que los servicios de Google sean perfectos, sino que están respaldados por un equipo de seguridad muy fuerte que suele poner solución a los problemas”, señala Kaspersky.

índice

Teams

Microsoft Teams se integra con Office 365, lo que representa su principal ventaja para un usuario corporativo. En respuesta al aumento de la demanda de herramientas para el teletrabajo, Microsoft ahora ofrece una prueba gratuita de seis meses de Teams, pero los usuarios de esta prueba no podrán configurar los ajustes y políticas, exponiéndose así a un posible compromiso de su seguridad..

Teams cumple con un gran número de estándares internacionales, se puede configurar para trabajar con datos médicos confidenciales y presume de unas opciones flexibles para la gestión de la seguridad. Bajo algunos planes de servicio, se pueden integrar en Teams herramientas adicionales, como una DLP o el análisis de los archivos de salida.

Los datos que se envían al servidor, ya sea por las conversaciones o las videollamadas, se cifran, pero no de extremo a extremo. Y ya que hablamos de almacenamiento y procesamiento, la información nunca abandona la zona en la que opera la empresa.

Posibles vulnerabilidades

No es mala idea monitorear las vulnerabilidades en Teams. Microsoft suele parchar las vulnerabilidades muy rápido, pero siguen apareciendo de vez en cuando. Por ejemplo, los investigadores descubrieron recientemente una vulnerabilidad (ya parchada) que permitía tomar el control de la cuenta.

índice

WebEx Meetings

Cisco WebEx Meetings es un servicio centrado exclusivamente en las videoconferencias que incluye servicios para empresas y cifrado de extremo a extremo. La opción está desactivada por defecto, pero el proveedor la activa bajo solicitud. Esto limita de alguna forma la funcionalidad de la herramienta, pero si tus empleados manejan información confidencial en las reuniones, sin duda es una opción que deberías tener en cuenta.

Posibles vulnerabilidades

Solo en marzo, el proveedor parchó dos vulnerabilidades que amenazaban la ejecución de código remoto. Aun así, Cisco es famosa por tomarse muy en serio la seguridad de las videollamadas y actualizar sus servicios rápidamente.

índice

WhatsApp

WhatsApp se desarrolló como una herramienta para la comunicación social, y no empresarial, pero esta aplicación gratuita puede cubrir las necesidades de videoconferencia que necesita cualquier equipo o empresa pequeña. Este programa no es adecuado para grandes empresas, ya que las videoconferencias solo admiten a cuatro participantes a la vez.

WhatsApp cuenta con una ventaja indiscutible: un auténtico cifrado de extremo a extremo. Por tanto, ni terceras partes ni los empleados de WhatsApp podrán ver tus videollamadas. Pero, a diferencia de las aplicaciones empresariales, WhatsApp apenas ofrece opciones de gestión de seguridad para tus llamadas o conversaciones, solo lo que ya está incorporado por defecto.

Posibles vulnerabilidades

El año pasado, unos atacantes distribuyeron el spyware Pegasus mediante las videollamadas de WhatsApp. Este error se solucionó, pero, recuerda, la aplicación no está diseñada para ofrecer una protección a nivel empresarial, por lo que, como mínimo, los usuarios deberán seguir de cerca las noticias de ciberseguridad.

índice

Zoom

Sus precios flexibles (con conferencias gratuitas de 40 minutos con un total de hasta 100 participantes) y su facilidad de uso ha atraído a muchísimos usuarios, pero los puntos débiles de la plataforma no han dejado indiferente a nadie.

Aun así, Zoom cumple con el estándar de seguridad internacional SOC 2, ofrece un plan de servicio para proveedores de atención médica y cuenta con unos parámetros de configuración flexibles. Los organizadores de la sesión pueden bloquear a participantes, aunque estos cuenten con el hipervínculo y la contraseña correctos, prohibir la grabación, etc. Si fuera necesario, Zoom puede configurarse de forma que no salga tráfico de la empresa.

Posibles vulnerabilidades

Zoom afirma haber implementado un cifrado de extremo a extremo, pero está afirmación no está de todo justificada. Con un cifrado de extremo a extremo, solo el remitente y el destinatario pueden leer los datos intercambiados, pero Zoom  descifra los datos de los videos en sus servidores y no siempre en el país de origen de tu empresa.

Asimismo se han descubierto vulnerabilidades de diferentes niveles de gravedad. Los clientes de Zoom en Windows  y macOS  han informado sobre un error (ya solucionado) que permitía a los atacantes robar los datos de la cuenta de la computadora. Dos errores en la aplicación de macOS permitían que los cibercriminales tomaran el control por completo del dispositivo.

Además, surgieron muchas noticias de troles de Internet que visitaban conferencias abiertas en Zoom, sin contraseña, para publicar comentarios y compartir su pantalla con contenido obsceno. En general, puedes solucionar este problema de seguridad si configuras la privacidad de tu conferencia de la forma correcta, pero Zoom también ha añadido una protección con contraseña por defecto para mantenerte a salvo de miradas indiscretas.

índice

ESET Latinoamérica

Analiza los riesgos de seguridad al hacer uso de videoconferencias, herramientas de colaboración en línea y sistemas de chat, además de proporcionar acciones para superar dichos riesgos.

Al respecto señaló que algunas empresas pueden pensar que si una reunión de este tipo puede llevarse a cabo en línea, seguro pueden hacer lo mismo con cierta confianza ahora que sus empleados trabajan desde casa; sin embargo, la firma de seguridad aclaró que realizar videoconferencias no excluye de la necesidad de comprender las características de seguridad de la herramienta y la necesidad de controlar cómo se lleva a cabo utilizando las herramientas disponibles.

Por lo anterior describe algunas consideraciones clave:

–Ambiente de trabajo: Verificar el entorno para asegurarse de que la transmisión de video que comparte no contenga información confidencial y asegurarse que todo el material sensible esté lejos del alcance de la cámara.

–Control de acceso: La mayoría de las plataformas de videoconferencia permiten restringir el acceso por dominio de Internet, de modo que solo los usuarios que cuenten con una dirección de correo electrónico perteneciente a su empresa pueden unirse a la llamada. Alternativamente, solo permita a los asistentes invitados agregar sus direcciones de correo electrónico a la invitación al programar la llamada.

–Establecer una contraseña para la reunión: Generalmente esta es una opción que se ofrece al crear la reunión, que agrega una contraseña generada aleatoriamente que los invitados deberán ingresar para acceder a la misma. Se puede usar una contraseña numérica para autenticar a los usuarios que se conectan por teléfono. Mantener a los participantes en una “sala de espera” y aprobar la conexión de cada uno le da al anfitrión el máximo control sobre quién está en la reunión. Para manejar esto en reuniones más grandes, puede promover a otros asistentes de confianza a un rol de organizador o moderador.

–Comunicaciones y transferencia de archivos: Algunos servicios cifran el chat de manera predeterminada, pero no el video, a menos que lo solicite específicamente. Si el software cliente de punto final de terceros lo permite, asegúrese de que cumpla con los requisitos para el cifrado de extremo a extremo. En caso de realizar transferencias de archivos, considerar limitar los tipos de archivos que se pueden enviar; por ejemplo, no permitir archivos ejecutables (como archivos .exe).

–Gestionar el nivel de compromiso y los participantes: El anfitrión, dependiendo de la plataforma, puede tener la capacidad de solicitar una notificación cuando el usuario que está realizando la videoconferencia no tenga abierta la misma en la ventana principal (activa). Si se es profesor, esta función puede ser extremadamente útil si desea garantizar la atención de todos sus alumnos. También se permite, supervisar quién se unió a la llamada, ya sea estableciendo un proceso de registro para conectarse o descargando una lista de los participantes posterior a la llamada.

–Compartir pantalla: Limitar la capacidad de compartir pantalla al anfitrión elimina la posibilidad de que alguien comparta contenido por error. Además, al compartir la pantalla, solo se debe compartir la aplicación necesaria y no todo el escritorio. El iOS de Apple realiza capturas de las pantallas utilizadas cuando la tarea cambia entre aplicaciones. Para protegerse contra esto sin darse cuenta, incluida la captura de información confidencial, verificar si el sistema de conferencia puede difuminar esta imagen.

–Prevención: Tomarse el tiempo para revisar las opciones de configuración que ofrece el sistema de videoconferencia que se tenga o que se esté pensando usar. Suelen ser muchas las opciones, por lo que encontrar la configuración correcta para el entorno es una tarea importante que sirve para garantizar que las comunicaciones de la empresa permanezcan seguras.

índice

¿Cuál elegir?

Ante el panorama vulnerable, y dado que Zoom es actualmente la plataforma más usada en el contexto de videollamadas, con el 20% de participación actual del mercado, la recomendación de este organismo es tomar en cuenta diferentes pasos para filtrar la seguridad y dar menos control del sistema a la aplicación, tanto a ésta como al resto de las opciones en el mercado.

Administrar participantes: Se recomienda no dejar abierto el ingreso a participantes nuevos en las conferencias, a menos que el administrador les permita entrar, de este modo se reduce el riesgo.

Contraseñas: Habilitar estos servicios bajo un perfil que requiera contraseña o un PIN para ingresar y no dejarlo público; de ser posible contratar los servicios premium o de paga que son más seguros.

Actualización: Mantener actualizadas las aplicaciones y los sistemas operativos de los dispositivos para contar con los parches de seguridad más recientes.

No grabar: De preferencia se recomienda no grabar las llamadas o compartir escritorios pues esto reduce la capacidad de seguridad y encriptación de las plataformas.

 

Kaspersky concluye que no existe ninguna aplicación de videoconferencia que sea 100 % segura, por lo tanto recomienda elegir el servicio cuyos inconvenientes no supongan ningún problema para tu empresa.

Asimismo enfatiza la importancia de configurar la privacidad de forma correcta y de actualizar rápidamente las aplicaciones para parchar las vulnerabilidades lo antes posible.

Por último, aconseja que los empleados cuenten al menos con habilidades básicas de ciberseguridad y comportamiento seguro en Internet. De no ser así más vale organizar una capacitación.

“Es importante verificar la política de privacidad del servicio que se está utilizando. El dicho de que “si es gratis, probablemente seas el producto” debería ser suficiente motivación para comprobar si la empresa está recopilando, vendiendo o compartiendo nuestros datos para financiar la prestación de su servicio “gratuito”, destacó Camilo Gutiérrez, jefe del Laboratorio de Investigación de Eset Latinoamérica

Entradas relacionadas

Deja tu comentario