¿Qué tan seguras son las plataformas de videollamadas más populares?
Foto Internet
Martes 19 de Mayo de 2020 4:38 pm
+ -Kaspersky analizó varios servicios y nos dice qué nivel de protección ofrecen.
Debido a la
cuarentena por el coronavirus Covid-19 millones de personas en todo el mundo
han recurrido a los servicios de videollamadas para mantener reuniones de
trabajo o sentirse más cerca de aquellos a quienes extrañan. Sin embargo, luego
de que se dieran a conocer algunos problemas de seguridad con estas plataformas
muchos tienen desconfianza al utilizarlas. Por ello es importante aprender a
configurarlas. Un equipo de la firma de ciberseguridad de Kaspersky se dio a la
tarea de evaluar los mecanismos de protección de datos de las plataformas de
videollamadas más populares y comparten algunos tips para utilizarlas.
1.- Google Meet y Google Duo:
Entre las
ventajas de Meet, el proveedor cita una infraestructura fiable para el
procesamiento de datos, cifrado (aunque no de extremo a extremo) y un conjunto
de herramientas de protección. Como la mayoría del resto de productos
empresariales, G Suite, incluido Google Meet, cumple con los estándares de
seguridad avanzados y ofrece opciones de configuración y gestión de derechos de
acceso entre sus configuraciones de privacidad. A su vez, la aplicación móvil
Google Duo protege los datos con un cifrado de extremo a extremo. No obstante,
se trata de una aplicación de videoconferencia diseñada para usuarios
particulares, no para empresas. Sus conferencias solo pueden admitir hasta 12
participantes.
Posibles
vulnerabilidades: "Además de algunos mensajes que nos recuerdan que Google
recopila los datos de los usuarios y que, por tanto, puede ser una amenaza para
los secretos comerciales, no pudimos encontrar información concreta sobre el
rendimiento de seguridad de estas aplicaciones de videoconferencia. Eso no
quiere decir que los servicios de Google sean perfectos, sino que están
respaldados por un equipo de seguridad muy fuerte que suele poner solución a
los problemas", señala Kaspersky.
2.- Teams Microsoft
Teams se
integra con Office 365, lo que representa su principal ventaja para un usuario
corporativo. En respuesta al aumento de la demanda de herramientas para el
teletrabajo Microsoft ahora ofrece una prueba gratuita de seis meses de Teams,
pero los usuarios de esta prueba no podrán configurar los ajustes y políticas,
exponiéndose así a un posible compromiso de su seguridad.
Teams cumple
con un gran número de estándares internacionales se puede configurar para
trabajar con datos médicos confidenciales y presume de unas opciones flexibles
para la gestión de la seguridad. Bajo algunos planes de servicio, se pueden
integrar en Teams herramientas adicionales, como una DLP o el análisis de los
archivos de salida. Los datos que se envían al servidor, ya sea por las
conversaciones o las videollamadas, se cifran, pero no de extremo a extremo. Y
ya que hablamos de almacenamiento y procesamiento, la información nunca abandona
la zona en la que opera la empresa.
Posibles
vulnerabilidades: No es mala idea monitorear las vulnerabilidades en Teams.
Microsoft suele parchar las vulnerabilidades muy rápido, pero siguen
apareciendo de vez en cuando. Por ejemplo, los investigadores descubrieron
recientemente una vulnerabilidad (ya parchada) que permitía tomar el control de
la cuenta.
3.- WebEx Meetings
Cisco WebEx
Meetings es un servicio centrado exclusivamente en las videoconferencias que
incluye servicios para empresas y cifrado de extremo a extremo. La opción está
desactivada por defecto pero el proveedor la activa bajo solicitud. Esto limita
de alguna forma la funcionalidad de la herramienta, pero si tus empleados
manejan información confidencial en las reuniones, sin duda es una opción que
deberías tener en cuenta.
Posibles
vulnerabilidades: Solo en marzo, el proveedor parchó dos vulnerabilidades que
amenazaban la ejecución de código remoto. Aun así, Cisco es famosa por tomarse
muy en serio la seguridad de las videollamadas y actualizar sus servicios
rápidamente.
4.- WhatsApp
Se desarrolló
como una herramienta para la comunicación social y no empresarial, pero esta
aplicación gratuita puede cubrir las necesidades de videoconferencia que
necesita cualquier equipo o empresa pequeña. Este programa no es adecuado para
grandes empresas, ya que las videoconferencias solo admiten a cuatro
participantes a la vez. WhatsApp cuenta con una ventaja indiscutible: un
auténtico cifrado de extremo a extremo. Por tanto, ni terceras partes ni los
empleados de WhatsApp podrán ver tus videollamadas. Pero, a diferencia de las
aplicaciones empresariales, WhatsApp apenas ofrece opciones de gestión de
seguridad para tus llamadas o conversaciones, solo lo que ya está incorporado
por defecto.
Posibles
vulnerabilidades: El año pasado, unos atacantes distribuyeron el spyware
Pegasus mediante las videollamadas de WhatsApp. Este error se solucionó, pero
es importante recordar que la aplicación no está diseñada para ofrecer una
protección a nivel empresarial, por lo que, como mínimo, los usuarios deberán
seguir de cerca las noticias de ciberseguridad.
5.- Zoom
Sus precios
flexibles (con conferencias gratuitas de 40 minutos con un total de hasta 100
participantes) y su facilidad de uso han atraído a muchísimos usuarios, pero
los puntos débiles de la plataforma no han dejado indiferente a nadie. Aun así,
Zoom cumple con el estándar de seguridad internacional SOC 2, ofrece un plan de
servicio para proveedores de atención médica y cuenta con unos parámetros de
configuración flexibles. Los organizadores de la sesión pueden bloquear a
participantes, aunque estos cuenten con el hipervínculo y la contraseña
correctos, prohibir la grabación, etc. Si fuera necesario, Zoom puede
configurarse de forma que no salga tráfico de la empresa.
Posibles
vulnerabilidades: Zoom afirma haber implementado un cifrado de extremo a
extremo, pero está afirmación no está de todo justificada. Con un cifrado de
extremo a extremo solo el remitente y el destinatario pueden leer los datos
intercambiados, pero Zoom descifra los datos de los videos en sus servidores y
no siempre en el país de origen de tu empresa. Asimismo se han descubierto
vulnerabilidades de diferentes niveles de gravedad.
Los clientes
de Zoom en Windows y macOS han informado
sobre un error (ya solucionado) que permitía a los atacantes robar los datos de
la cuenta de la computadora. Dos errores en la aplicación de macOS permitían
que los cibercriminales tomaran el control por completo del dispositivo.
Además, surgieron muchas noticias de troles de Internet que visitaban
conferencias abiertas en Zoom, sin contraseña, para publicar comentarios y compartir
su pantalla con contenido obsceno. En general puedes solucionar este problema
de seguridad si configuras la privacidad de tu conferencia de la forma
correcta, pero Zoom también ha añadido una protección con contraseña por
defecto para mantenerte a salvo de miradas indiscretas.
¿Cuál elegir?
Kaspersky
concluye que no existe ninguna aplicación de videoconferencia que sea 100 %
segura, por lo tanto recomienda elegir el servicio cuyos inconvenientes no
supongan ningún problema para tu empresa. Asimismo enfatiza la importancia de
configurar la privacidad de forma correcta y de actualizar rápidamente las
aplicaciones para parchar las vulnerabilidades lo antes posible.
Por último
aconseja que los empleados cuenten al menos con habilidades básicas de ciberseguridad
y comportamiento seguro en Internet. De no ser así más vale organizar una
capacitación.
El Universal
