Desde que la pandemia comenzó, millones de personas comenzaron a trabajar a distancia de forma colaborativa, por lo que han tenido que aprender a utilizar las herramientas para hacerlo. Estos servicios han tenido una increíble recepción por parte de los usuarios, lo cual ha hecho que se preste más atención a un aspecto que antes se ignoraba: la seguridad. Unos investigadores estadounidenses de tres universidades publicaron un estudio sobre la famosa función de silenciar el micrófono en los programas más populares para comprobar si realmente hace lo que promete. En dicho estudio se obtuvieron resultados de todo tipo, pero, sin duda, indican que es momento de replantear la postura sobre la privacidad durante las llamadas de trabajo.
¿Cómo surge este estudio?
Es muy obvio. Si alguna vez has utilizado Microsoft Teams, te habrás percatado de esta situación: entras en una llamada con el micrófono silenciado y empiezas a hablar sin darte cuenta de que tienes el micrófono silenciado, acto seguido, el programa te recuerda que el micrófono está silenciado. Está claro que dicha función (la cual debemos reconocer como bastante útil) no se puede ejecutar si el botón de silenciar desconectara el micrófono por completo. Entonces, ¿cómo se implementa realmente esta función? ¿Se envía el sonido del micrófono al servidor del programa, aunque esté el modo de silenciar activado?
Estas son algunas preguntas que se plantearon los autores del estudio. ¿Pero cómo comprobarlo? Para responder estas preguntas, los investigadores analizaron el funcionamiento del micrófono de diez servicios distintos en total, y se basaron en llamadas realizadas a mediante el navegador.
Resultados de la investigación
Desde el punto de vista de la privacidad, la mejor solución para las videollamadas parece ser un cliente web. Todos los servicios de conferencias online se probaron en un navegador de código abierto como es el caso de Chromium (la base de muchos navegadores como Google Chrome y Microsoft Edge). De esta manera, todos los servicios deben cumplir las reglas de interacción con el micrófono establecidas por los desarrolladores del motor del navegador. Es decir, cuando se activa el botón de silencio del micrófono en la interfaz web, el servicio no debe captar ningún sonido. Pero las aplicaciones para escritorio tienen más permisos.
Esquema general de interacción entre la aplicación de conferencias y el sistema operativo (en este caso Windows 10). Fuente.
Los investigadores analizaron cómo y cuándo interactuaba la aplicación con el micrófono, comparando los datos de audio capturados desde este con el flujo de información enviado al servidor. El resultado fue, como esperaban, que cada programa tiene un comportamiento distinto. Aquí está lo que descubrieron sobre las principales herramientas de este tipo:
Zoom
Zoom es un claro ejemplo de comportamiento “respetuoso”. En el modo de micrófono silenciado no capta el flujo de audio; o sea, que no escucha lo que sucede a su alrededor. Además, solicita regularmente información que le permite determinar el nivel de ruido cerca del micrófono. En cuanto detecta que empiezas a hablar, o haces algún ruido, el cliente te recuerda, como siempre, que debes activar el audio.
Microsoft Teams
En este caso las cosas se complican un poco más. Microsoft Teams no utiliza la interfaz estándar del sistema para la interacción con el micrófono, sino que se comunica directamente con Windows. Debido a esto, los investigadores no pudieron investigar con mayo detalle cómo es que se gestiona el modo silencio durante una llamada.
Cisco Webex
Cisco Webex resultó tener el comportamiento más extraño de todas las opciones que se analizaron. Dicha plataforma procesa el sonido del micrófono de manera constante durante la llamada, sin importar el estado (activado o desactivado) del audio dentro de la aplicación. No obstante, al investigar el cliente con más detalle, descubrieron que Webex no espía tal cual, ya que, en el modo silenciado, el sonido no se transmite al servidor. Sin embargo, sí envía metadatos como es el nivel de volumen de la señal.
Esto no parecería algo preocupante a simple vista. Sin embargo, basados solamente en dichos metadatos, sin acceso a todo el flujo de audio, pudieron suponer una serie de parámetros básicos de lo que ocurría con el usuario y su entorno. Por ejemplo, pudieron determinar de una forma bastante confiable si el usuario, al estar conectado a una llamada de trabajo, había apagado el micrófono y la cámara y estaba aspirando la casa, cocinando o había un perro ladrando cerca. Incluso fue posible saber si había más personas en la habitación (por ejemplo, determinar si la llamada se hacía en un lugar público). Para esto, utilizaron un algoritmo parecido, en cierto modo, al de Shazam y otras aplicaciones de reconocimiento de música. Para cada “muestra de ruido”, se creó un conjunto de patrones, los cuales se compararon con los datos capturados del cliente Cisco Webex.
Niveles de privacidad
El estudio arroja algunos consejos prácticos y reafirma lo que era un secreto a voces: no tenemos un control real sobre los datos que se recopilan sobre nosotros ni cómo es que esto se lleva a cabo. Sin embargo, también hay que reconocer que en este estudio no se detectó ninguna ilegalidad en el funcionamiento de las herramientas analizadas.
Si, a pesar de estos resultados positivos, todavía te preocupa el hecho de tener aplicaciones en tu computadora que tengas un constante acceso al micrófono, una solución es conectarte al servicio a través de la web, siempre que sea posible. Sí, tendrás funciones más limitadas, pero tu privacidad aumentará: en este caso, el botón de silenciar el micrófono de verdad desconecta el micrófono del servicio.
Una opción más es la de usar el botón de silenciado del micrófono del hardware, si es que tu computadora cuenta con él. Puedes utilizar unos audífonos externos, ya que algunos modelos de gama alta suelen aislar el micrófono de la computadora sin necesidad de un software de por medio.
El peligro real no se encuentra en estas herramientas por sí mismas, sino en el malware que puede espiar a las víctimas y enviar las grabaciones de audio de esas conversaciones a sus desarrolladores. En este caso, no solo necesitarías una solución de seguridad que se ocupe de los programas no deseados, sino también de un medio para controlar quién y cuándo accede al micrófono, en caso de que un programa legítimo decida hacerlo sin preguntar. Las soluciones de Kaspersky, tanto para uso personal como para empresas, cuentan con una función independiente que te informa cuándo un software intenta acceder al micrófono o a la cámara web.