Muchas empresas, sobre todo las pequeñas, no utilizan sistemas especializados como Slack o Microsoft Teams para la comunicación entre empleados, sino mensajeros ordinarios como WhatsApp, Telegram y Signal. Y, aunque para el uso personal los usuarios prefieren las versiones móviles, cuando se trata de necesidades laborales, muchos instalan aplicaciones de escritorio sin tener en cuenta su seguridad.
En nuestra publicación reciente sobre vulnerabilidades en la versión de escritorio de Signal, escribimos que “el mejor consejo sería que dejes de usar la versión de escritorio de Signal (y las versiones de escritorio de los mensajeros en general)”. A continuación, te explicamos con detenimiento los errores en las versiones de escritorio de los mensajeros en términos de ciberseguridad.
Ten en cuenta que estamos hablando de versiones de escritorio de aplicaciones de mensajería “civiles” (como Telegram, WhatsApp y Signal), no de plataformas corporativas como Slack y Microsoft Teams, que están especialmente adaptadas para los procesos de trabajo (y como tal operan un poco diferente, motivo por el que no aparecerán en esta publicación).
1. Aplicación por fuera, navegador por dentro
Una de las cosas importantes que debes comprender acerca de las versiones de escritorio de los mensajeros es que la gran mayoría de ellos se basan en el framework Electron, lo que significa básicamente que dicho programa, en el interior, es una aplicación web que se abre en un navegador Chromium integrado.
Esta es en realidad la razón principal por la que Electron es tan popular entre los desarrolladores de versiones de escritorio de mensajeros: el framework facilita y agiliza la creación de aplicaciones que se ejecutan en todos los sistemas operativos. Sin embargo, también implica que los programas creados en Electron hereden automáticamente todas sus vulnerabilidades.
A su vez, hay que entender que, debido a su increíble popularidad, Chrome y Chromium siempre están en el punto de mira. Por tanto, los ciberdelincuentes descubren sus vulnerabilidades y crean rápidamente exploits con descripciones detalladas sobre cómo usarlos. En el caso del navegador Chrome normal e independiente, esto no supone un gran problema: Google responde muy bien a la información sobre vulnerabilidades y lanza parches con regularidad. Por lo que, para mantenerte a salvo, solo tienes que instalar las actualizaciones de inmediato. Pero cuando se trata de programas basados en Electron, el navegador incorporado recibe una actualización solo cuando los desarrolladores lanzan una nueva versión de la aplicación.
Entonces, ¿cuál es el problema? Si tus empleados usan aplicaciones desarrolladas en Electron, esto significa que tienen varios navegadores ejecutándose en sus sistemas en los cuales aparecen vulnerabilidades regularmente. Además, nadie podrá controlar las actualizaciones de estos navegadores. Por tanto, cuantas más aplicaciones como esta, mayores serán los riesgos asociados. Ante esta situación, sería prudente limitar al menos la cantidad de mensajeros “civiles” que se utilizan para fines corporativos en la empresa.
2. La pregunta clave
Uno de los mayores atractivos de los mensajeros actuales es el uso del cifrado de extremo a extremo, con el que, para descifrar los mensajes, se necesitan las claves privadas de los participantes del chat, que nunca abandonan sus dispositivos. Por lo que, mientras nadie conozca las claves de cifrado, tu correspondencia estará a salvo. Pero si un atacante obtiene la clave privada, no solo podrá leer tu correspondencia, sino también hacerse pasar por uno de los participantes del chat.
Y es aquí donde aparece el problema de las versiones de escritorio de los mensajeros: almacenan las claves de cifrado en el disco duro, por lo que se pueden robar fácilmente. Evidentemente, el atacante debe obtener acceso al sistema de alguna forma, por ejemplo, a través de malware, pero esto es perfectamente factible en el caso de los sistemas operativos de escritorio. En cuanto a los móviles, sus características arquitectónicas hacen que robar claves de cifrado sea mucho más difícil, sobre todo si se hace en remoto.
En otras palabras, el uso de la versión de escritorio de un mensajero aumenta de forma automática y significativa el riesgo de que la clave de cifrado y, por lo tanto, la correspondencia corporativa caigan en las manos equivocadas.
3. RAT en el chat
Supongamos que las cosas van bien y que nadie tiene (todavía) la clave de cifrado de ninguno de tus empleados: esto significaría que toda la correspondencia corporativa está sana y salva, ¿verdad? Pues no exactamente. Los ciberdelincuentes podrían usar herramientas de administración remota, así como troyanos de acceso remoto (ambos comparten el mismo acrónimo en inglés: RAT) para husmear en la correspondencia corporativa. La diferencia entre ellos es bastante simbólica: tanto las herramientas legítimas como los troyanos ilegales pueden usarse para hacer muchas cosas interesantes con tu ordenador.
Los RAT representan amenazas contra las cuales los clientes de mensajería de escritorio, a diferencia de sus versiones móviles, están prácticamente indefensos. Estos programas permiten que hasta los atacantes sin experiencia obtengan el contenido secreto de la correspondencia. En un mensajero que se ejecuta en un ordenador de escritorio, todos los chats ya se descifran automáticamente, por lo que no es necesario robar las claves privadas. Cualquiera en modo de escritorio remoto puede leer tu correspondencia, incluso aunque tenga lugar en el mensajero más seguro del mundo. Y no solo leer, sino también escribir mensajes en el chat corporativo haciéndose pasar por un empleado de la empresa.
Además, las herramientas de administración remota son programas totalmente legítimos, con todas las consecuencias que ello conlleva. En primer lugar, a diferencia del malware, que debe obtenerse de algún rincón oscuro de internet, estas se pueden encontrar y descargar online sin ningún problema. Y, en segundo lugar, no todas las soluciones de seguridad advierten al usuario si se encuentran herramientas de acceso remoto en su ordenador.
4. ¿Un archivo? Espera, no lo descargues tan rápido
Otra razón para evitar el uso de los clientes de escritorio de los mensajeros populares es el riesgo de que puedan usarse como un canal adicional no controlado para enviar archivos maliciosos a los ordenadores de tus empleados. Claro, podrías acabar descargando este tipo de archivos de cualquier lugar. Pero en el caso de los adjuntos del correo electrónico y, más aún, los archivos descargados de internet, la mayoría de los usuarios son más consciente de los posibles peligros. Todo lo contrario de los archivos recibidos en un mensajero, sobre todo uno posicionado como seguro: “¿qué podría salir mal aquí?”. Especialmente en los casos en los que el archivo proviene de un compañero: “no puede haber nada de qué preocuparse”, afirmarían.
Las vulnerabilidades encontradas en la versión de escritorio de Signal relacionadas con la forma en que el mensajero gestiona los archivos (descritas en nuestra publicación) sirven como ejemplo. La explotación de estas vulnerabilidades permite a un atacante distribuir silenciosamente documentos infectados a los participantes del chat que fingen ser uno de los participantes.
Esta es solo una situación hipotética que sugiere habilidades técnicas avanzadas del atacante. Tampoco se pueden descartar otros: desde envíos masivos basados en bases de datos robadas hasta ataques dirigidos mediante ingeniería social.
Insistimos en que los sistemas operativos móviles están mejor protegidos contra el malware, por lo que este problema es menos grave para los usuarios de clientes de mensajería móvil. Sus versiones de escritorio conllevan un riesgo mucho mayor de atraer algún tipo de malware al ordenador.
5. Cuidado con las amenazas tradicionales
Además, no debemos olvidarnos de las amenazas tradicionales. Las soluciones de seguridad especializadas en el nivel de la puerta de enlace del correo corporativo refuerzan la protección contra archivos adjuntos maliciosos y phishing. Pero en el caso de los clientes de mensajería de escritorio, las cosas son un poco más complicadas. No existe una solución que pueda participar en el intercambio de mensajes cifrados de extremo a extremo utilizando los servidores del propio mensajero; los objetos peligrosos solo pueden interceptarse en la salida, lo que reduce el nivel de protección.
Una vez más, esto es un problema mucho menor en los dispositivos móviles. Son más difíciles de infectar con malware y almacenan archivos menos importantes. Además, es poco probable que el movimiento lateral a un dispositivo móvil en la red corporativa después de un ataque exitoso tenga las mismas consecuencias devastadoras.
Un mensajero de escritorio en un ordenador corporativo proporciona un canal de comunicación que no solo es incontrolable para el gestor de la red, sino que también está completamente protegido contra sus acciones; y de situación podría surgir algo muy desagradable.
Más vale prevenir que curar (y culpar)
Terminamos básicamente donde comenzamos: como ya mencionamos en la introducción, el mejor consejo es no usar las versiones de escritorio de los mensajeros. Y, si por alguna razón te resulta inevitable, al menos intenta seguir estas precauciones básicas:
- Asegúrate de instalar un software de seguridad en los dispositivos corporativos. Esta, de hecho, es la única forma de protegerte contra las amenazas que se puedan colar a través de los mensajeros en la red de tu empresa.
- Si tus empleados utilizan más de un mensajero por motivos de trabajo, intenta detener esta práctica. Elige uno y prohíbe el resto.
- Además, realiza un seguimiento de las herramientas de acceso remoto instaladas y utilizadas en los dispositivos corporativos.
- Por cierto, nuestro Kaspersky Endpoint Security Cloud tiene la función Cloud Discovery, que rastrea los intentos de los empleados de usar servicios en la nube no autorizados.
- Y para hacer que todas estas medidas sean más eficaces y, a su vez, demostrar su absoluta necesidad, sería útil proporcionar formaciones en materia de seguridad de la información para los empleados.