Seguridad en las aplicaciones de videoconferencia

¿Son seguras las aplicaciones de videoconferencia más populares?

#QuédateEnCasa no es solo una etiqueta de las redes sociales, sino también la cruda realidad de muchas empresas que, con motivo de la pandemia del coronavirus, se han visto obligadas a enviar a sus empleados a casa a realizar teletrabajo. Las reuniones en persona se han visto remplazadas por las videollamadas. Pero en las conferencias corporativas se discuten de cosas más ¿cosas? que el tiempo, por tanto, antes de comprometerte con una aplicación de videoconferencias, echa un vistazo a sus mecanismos de protección de datos. Para ser claros, no hemos probado estas aplicaciones en nuestros laboratorios, tan solo hemos revisado sus recursos a disposición del público en busca de información sobre problemas de seguridad conocidos en los softwares más utilizados.

Google Meet y Google Duo

Google ofrece dos servicios de videollamadas: Meet y Duo. El primero es una aplicación que se integra con otros servicios de Google (el G Suite). Si tu empresa utiliza este paquete, Hangouts Meet encajará muy bien.

Seguridad: Google Meet

Entre las ventajas de Meet, el proveedor cita una infraestructura fiable para el procesamiento de datos, cifrado (aunque no de extremo a extremo) y un conjunto de herramientas de protección, todas activadas por defecto. Como la mayoría del resto de productos empresariales, G Suite, incluido Google Meet, cumple con los estándares de seguridad avanzados y ofrece opciones de configuración y gestión de derechos de acceso entre sus configuraciones de privacidad.

 

Seguridad: Google Duo

Por otro lado, la aplicación para móvil Duo protege los datos con un cifrado de extremo a extremo. No obstante, se trata de una aplicación de videoconferencia diseñada para usuarios particulares, no para empresas. Sus conferencias solo pueden admitir hasta 12 participantes.

 

Vulnerabilidades e inconvenientes

Además de algunos mensajes que nos recuerdan que Google recopila los datos de los usuarios y que, por tanto, puede ser una amenaza para los secretos comerciales, no pudimos encontrar información concreta sobre el rendimiento de seguridad de estas aplicaciones de videoconferencia. Eso no quiere decir que los servicios de Google sean perfectos, sino que están respaldados por un equipo de seguridad muy fuerte que suele poner solución a los problemas antes de que se generen problemas.

 

Slack

En Slack puedes crear espacios de trabajo con conversaciones múltiples que se muestran en una única ventana, además de los canales dentro de tu espacio de trabajo dedicados a diferentes proyectos. Las conferencias tienen un límite de 15 participantes.

Seguridad

Slack cumple con una gran variedad de estándares de seguridad,  incluido el SOC 2. El servicio se puede configurar para trabajar con datos financieros y médicos y permite a las empresas seleccionar una zona para el almacenamiento de datos. Además, para unirte a un espacio de trabajo necesitas una invitación o una dirección de correo electrónico que utilice el dominio corporativo.

Slack también ofrece a sus clientes instrumentos flexibles para la gestión de riesgos, integración con soluciones de prevención de pérdida de datos (DLP, por sus siglas en inglés) y herramientas para el control al acceso de los datos. Por ejemplo, los administradores pueden restringir el uso de Slack desde dispositivos personales y el copiado de información de sus canales.

Vulnerabilidades e inconvenientes

De acuerdo con los desarrolladores de Slack, solo un número limitado de empresas necesita un cifrado de extremo a extremo y la implementación de esta función de seguridad en la aplicación de videoconferencia podría limitar la funcionalidad. Por tanto, por lo que parece, Slack no tiene pensado añadir un cifrado de extremo a extremo.

Slack también te permite integrar aplicaciones de terceros, cuya seguridad no es responsabilidad de Slack.

Además, los investigadores encontraron vulnerabilidades, y serias, en Slack. Esta aplicación de videoconferencias

ha parchado un error que permitía a los atacantes el robo de datos y otro que activaba la intercepción de la sesión de un usuario.

Teams

Microsoft Teams se integra con Office 365, lo que representa su principal ventaja para un usuario corporativo. En respuesta al aumento de la demanda de herramientas para el teletrabajo, Microsoft ahora ofrece una prueba gratuita de seis meses de Microsoft Teams, pero los usuarios de esta prueba no podrán configurar los ajustes y políticas, exponiéndose así a un posible compromiso de su seguridad.

Seguridad

Teams cumple con un gran número de estándares internacionales, se puede configurar para trabajar con datos médicos confidenciales y presume de unas opciones flexibles para la gestión de la seguridad. Bajo algunos planes de servicio, se pueden integrar en Teams herramientas adicionales, como una DLP o el análisis de los archivos de salida. Nuestra solución de seguridad para proteger MS Office 365 analiza los datos intercambiados mediante Teams para evitar que el malware se expanda por toda la red corporativa.

Los datos que se envían al servidor, ya sea por las conversaciones o las videollamadas, se cifran, pero, al igual que en las aplicaciones de videoconferencias anteriores, no se trata de un cifrado de extremo a extremo. Y ya que hablamos de almacenamiento y procesamiento, la información nunca abandona la zona en la que opera la empresa.

Vulnerabilidades

No es mala idea monitorear las vulnerabilidades en Teams. Microsoft suele parchar las vulnerabilidades muy rápido, pero siguen apareciendo de vez en cuando. Por ejemplo, los investigadores descubrieron recientemente una vulnerabilidad (ya parchada) que permitía tomar el control de la cuenta.

 

Skype Empresarial

La versión en la nube de Skype Empresarial, el predecesor de Teams en Office 365, se está convirtiendo poco a poco en cosa del pasado, pero aún puedes instalarlo de modo local. Algunos usuarios lo consideran más práctico que Teams, y Microsoft seguirá ofreciendo soporte a la versión local de Skype durante un par de años.

Seguridad

Skype Empresarial cifra la información, pero no de extremo a extremo, además, la protección de los servicios no se puede configurar. Esta aplicación de videoconferencias también utiliza un software de servidor local, por lo que las videollamadas y otros datos no abandonarán nunca la red corporativa, lo que supone una ventaja obvia.

Vulnerabilidades e inconvenientes

El soporte de este producto no durará para siempre, lo cual lo dejará vulnerable frente a ataques como el spyware comercial. A menos que Microsoft cambie de planes, el soporte de esta aplicación de videollamadas finalizará en julio del 2021 y el de Skype empresarial Server 2019, hasta el 14 de octubre del 2025.

WebEx Meetings and WebEx Teams

Cisco WebEx Meetings es un servicio centrado exclusivamente en las videoconferencias y Cisco WebEx Teams es una herramienta completa para el cotrabajo que, entre otras cosas, permite las videollamadas. En lo que respecta a esta publicación, la diferencia está en la estrategia de cifrado.

Seguridad

Cisco WebEx Meetings incluye servicios para empresas y cifrado de extremo a extremo (la opción está desactivada por defecto, pero el proveedor la activa bajo solicitud. Esto limita de alguna forma la funcionalidad de la herramienta, pero si tus empleados manejan información confidencial en las reuniones, sin duda es una opción que deberías tener en cuenta).

 

Vulnerabilidades e inconvenientes

Solo este marzo, el proveedor parchó dos vulnerabilidades en WebEx Meetings que amenazaban la ejecución de código remoto. Y a principios del año pasado, se descubrió un error grave en el cliente WebEx Teams  que permitía la ejecución de comandos con los privilegios del usuario. Aun así, Cisco es famosa por tomarse muy en serio la seguridad de las videollamadas y actualizar sus servicios rápidamente.

WhatsApp

WhatsApp se desarrolló como una herramienta para la comunicación social, y no empresarial, pero esta aplicación gratuita puede cubrir las necesidades de videoconferencia que necesita cualquier equipo o empresa pequeña. Este programa no es adecuado para grandes empresas, ya que las videoconferencias solo admiten a cuatro participantes a la vez.

Seguridad

WhatsApp cuenta con una ventaja indiscutible: un auténtico cifrado de extremo a extremo. Por tanto, ni terceras partes ni los empleados de WhatsApp podrán ver tus videollamadas. Pero, a diferencia de las aplicaciones empresariales, WhatsApp apenas ofrece opciones de gestión de seguridad para tus llamadas o conversaciones, solo lo que ya está incorporado por defecto.

 

Vulnerabilidades e inconvenientes

El año pasado, unos atacantes distribuyeron el spyware Pegasus mediante las videollamadas de WhatsApp. Este error se solucionó, pero, recuerda, la aplicación no está diseñada para ofrecer una protección a nivel empresarial, por lo que, como mínimo, los usuarios deberán seguir de cerca las noticias de ciberseguridad.

 

Zoom

Zoom, una plataforma de videoconferencia en la nube de la empresa , lleva acaparando los titulares desde los inicios de la pandemia de coronavirus. Sus precios flexibles (con conferencias gratuitas de 40 minutos con un total de hasta 100 participantes) y su facilidad de uso ha atraído a muchísimos usuarios, pero los puntos débiles de la plataforma no han dejado indiferente a nadie. Por ello, te recomendamos seguir estos consejos de seguridad en Zoom.

 

Seguridad

El servicio cumple con el estándar de seguridad internacional SOC 2, ofrece un plan de servicio aparte compatible con HIPAA para proveedores de atención médica y cuenta con unos parámetros de configuración flexibles. Los organizadores de la sesión pueden bloquear a participantes, aunque estos cuenten con el hipervínculo y la contraseña correctos, prohibir la grabación, etc. Si fuera necesario, Zoom puede configurarse de forma que no salga tráfico de la empresa.

Zoom ha estado respondiendo a las vulnerabilidades y afirma que tiene pensado priorizar la seguridad del producto frente a la integración de nuevas funciones.

 

Vulnerabilidades e inconvenientes

Zoom afirma haber implementado un cifrado de extremo a extremo, pero está afirmación no está de todo justificada. Con un cifrado de extremo a extremo, solo el remitente y el destinatario pueden leer los datos intercambiados, pero Zoom descifra los datos de los vídeos en sus servidores y no siempre en el país de origen de tu empresa.

 

Se han descubierto vulnerabilidades de Zoom diferentes niveles de gravedad en sus aplicaciones. Los clientes de Zoom en Windows  y macOS  han informado sobre un error (ya solucionado) que permitía a los atacantes robar los datos de la cuenta de la computadora. Dos errores en la aplicación de macOS permitían que los cibercriminales tomaran el control por completo del dispositivo.

 

Además, surgieron muchas noticias de troles de Internet que visitaban conferencias abiertas en Zoom, sin contraseña, para publicar comentarios y compartir su pantalla con contenido obsceno. En general, puedes solucionar este problema de seguridad en Zoom si configuras la privacidad de tu conferencia de la forma correcta, pero Zoom también ha añadido una protección con contraseña por defecto para mantenerte a salvo de miradas indiscretas.

 

Las noticias sobre los problemas de seguridad en Zoom han provocado que grandes actores menospreciaran el servicio. Pero todos los servicios tienen vulnerabilidades y, en el caso de Zoom, la explosión de popularidad ha traído consigo un escrutinio tremendo.

 

Elige la aplicación de videoconferencia que mejor te convenga

No existe ninguna aplicación de videoconferencia que sea 100 % segura, ni ningún otro tipo de aplicación. Por tanto, quédate con ese servicio cuyos inconvenientes no supongan ningún problema para tu empresa. Y, recuerda, elegir la aplicación correcta es tan solo el primer paso.

  • Tómate tu tiempo para configurar la privacidad de forma correcta el servicio. Una configuración permisiva puede permitir filtraciones en las aplicaciones de videoconferencias.
  • Actualiza rápidamente tus aplicaciones para parchar las vulnerabilidades lo antes posible.
  • Asegúrate de que tus empleados cuenten al menos con unas habilidades básicas de ciberseguridad y comportamiento seguro en Internet. De lo contrario, organiza una capacitación en ciberseguridad a distancia mediante nuestra plataforma Kaspersky Automated Security Awareness Platform.
Consejos