{"id":18578,"date":"2020-05-04T12:39:58","date_gmt":"2020-05-04T18:39:58","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=18578"},"modified":"2020-08-03T06:44:53","modified_gmt":"2020-08-03T12:44:53","slug":"videoconference-software-security","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/videoconference-software-security\/18578\/","title":{"rendered":"Seguridad en las aplicaciones de videoconferencia"},"content":{"rendered":"

#Qu\u00e9dateEnCasa<\/strong> no es solo una etiqueta de las redes sociales, sino tambi\u00e9n la cruda realidad de muchas empresas que, con motivo de la pandemia del coronavirus<\/a><\/strong>, se han visto obligadas a enviar a sus empleados a casa a realizar teletrabajo<\/a><\/strong>. Las reuniones en persona se han visto remplazadas por las videollamadas<\/strong>. Pero en las conferencias corporativas se discuten de cosas m\u00e1s \u00bfcosas? que el tiempo, por tanto, antes de comprometerte con una aplicaci\u00f3n de videoconferencias<\/a><\/strong>, echa un vistazo a sus mecanismos de protecci\u00f3n de datos. Para ser claros, no hemos probado estas aplicaciones en nuestros laboratorios, tan solo hemos revisado sus recursos a disposici\u00f3n del p\u00fablico en busca de informaci\u00f3n sobre problemas de seguridad conocidos en los softwares<\/em> m\u00e1s utilizados.<\/p>\n

<\/h3>\n

Google Meet y Google Duo<\/h2>\n

Google<\/strong> ofrece dos servicios de videollamadas: Meet<\/strong> y Duo<\/strong>. El primero es una aplicaci\u00f3n que se integra con otros servicios de Google (el G Suite). Si tu empresa utiliza este paquete, Hangouts Meet encajar\u00e1 muy bien.<\/p>\n

<\/h3>\n

Seguridad: Google Meet<\/h3>\n

Entre las ventajas de Meet<\/strong>, el proveedor cita<\/strong><\/a> una infraestructura fiable para el procesamiento de datos, cifrado<\/strong> (aunque no de extremo a extremo<\/strong>) y un conjunto de herramientas de protecci\u00f3n, todas activadas por defecto. Como la mayor\u00eda del resto de productos empresariales, G Suite, incluido Google Meet<\/strong>, cumple con los est\u00e1ndares de seguridad avanzados y ofrece opciones de configuraci\u00f3n y gesti\u00f3n de derechos de acceso entre sus configuraciones de privacidad<\/strong><\/a>.<\/p>\n

\u00a0<\/p>\n

Seguridad: Google Duo<\/h3>\n

Por otro lado, la aplicaci\u00f3n para m\u00f3vil Duo<\/strong><\/a> protege los datos con un cifrado de extremo a extremo<\/strong>. No obstante, se trata de una aplicaci\u00f3n de videoconferencia dise\u00f1ada para usuarios particulares, no para empresas. Sus conferencias solo pueden admitir hasta 12 participantes.<\/p>\n

\u00a0<\/p>\n

Vulnerabilidades e inconvenientes<\/h3>\n

Adem\u00e1s de algunos mensajes que nos recuerdan que Google recopila los datos de los usuarios<\/a><\/strong> y que, por tanto, puede ser una amenaza para los secretos comerciales<\/a><\/strong>, no pudimos encontrar informaci\u00f3n concreta sobre el rendimiento de seguridad de estas aplicaciones de videoconferencia<\/strong>. Eso no quiere decir que los servicios de Google sean perfectos, sino que est\u00e1n respaldados por un equipo de seguridad muy fuerte que suele poner soluci\u00f3n a los problemas antes de que se generen problemas.<\/p>\n

\u00a0<\/p>\n

Slack<\/h2>\n

En Slack<\/strong> puedes crear espacios de trabajo con conversaciones m\u00faltiples que se muestran en una \u00fanica ventana, adem\u00e1s de los canales dentro de tu espacio de trabajo dedicados a diferentes proyectos. Las conferencias tienen un l\u00edmite de 15 participantes.<\/p>\n

<\/h3>\n

Seguridad<\/h3>\n

Slack<\/strong> cumple con una gran variedad de est\u00e1ndares de seguridad<\/strong><\/a>,\u00a0 incluido el SOC 2. El servicio se puede configurar para trabajar con datos financieros y m\u00e9dicos<\/strong> y permite a las empresas seleccionar una zona para el almacenamiento de datos. Adem\u00e1s, para unirte a un espacio de trabajo necesitas una invitaci\u00f3n<\/strong><\/a> o una direcci\u00f3n de correo electr\u00f3nico<\/strong> que utilice el dominio corporativo.<\/p>\n

Slack<\/strong> tambi\u00e9n ofrece a sus clientes instrumentos flexibles para la gesti\u00f3n de riesgos, integraci\u00f3n con soluciones de prevenci\u00f3n de p\u00e9rdida de datos (DLP, por sus siglas en ingl\u00e9s) y herramientas para el control al acceso de los datos. Por ejemplo, los administradores pueden restringir<\/strong><\/a> el uso de Slack<\/strong> desde dispositivos personales<\/a><\/strong> y el copiado de informaci\u00f3n de sus canales.<\/p>\n

<\/h3>\n

Vulnerabilidades e inconvenientes<\/h3>\n

De acuerdo con los desarrolladores de Slack<\/strong>, solo un n\u00famero limitado de empresas<\/strong><\/a> necesita un cifrado de extremo a extremo y la implementaci\u00f3n de esta funci\u00f3n de seguridad en la aplicaci\u00f3n de videoconferencia<\/strong> podr\u00eda limitar la funcionalidad. Por tanto, por lo que parece, Slack no tiene pensado a\u00f1adir un cifrado de extremo a extremo<\/strong>.<\/p>\n

Slack tambi\u00e9n te permite integrar aplicaciones de terceros, cuya seguridad no es responsabilidad de Slack.<\/p>\n

Adem\u00e1s, los investigadores encontraron vulnerabilidades, y serias, en Slack. Esta aplicaci\u00f3n de videoconferencias<\/strong><\/p>\n

ha parchado un error que permit\u00eda a los atacantes el robo de datos<\/a><\/strong> y otro que activaba la intercepci\u00f3n de la sesi\u00f3n<\/a><\/strong> de un usuario.<\/p>\n

<\/h2>\n

Teams<\/h2>\n

Microsoft Teams<\/strong> se integra con Office 365<\/strong>, lo que representa su principal ventaja para un usuario corporativo. En respuesta al aumento de la demanda de herramientas para el teletrabajo, Microsoft ahora ofrece una prueba gratuita de seis meses de Microsoft Teams<\/strong>, pero los usuarios de esta prueba no podr\u00e1n configurar<\/a><\/strong> los ajustes y pol\u00edticas, exponi\u00e9ndose as\u00ed a un posible compromiso de su seguridad.<\/p>\n

<\/h3>\n

Seguridad<\/h3>\n

Teams<\/strong> cumple<\/a><\/strong> con un gran n\u00famero de est\u00e1ndares internacionales, se puede configurar para trabajar con datos m\u00e9dicos confidenciales<\/strong> y presume de unas opciones flexibles para la gesti\u00f3n de la seguridad. Bajo algunos planes de servicio, se pueden integrar en Teams herramientas adicionales, como una DLP o el an\u00e1lisis de los archivos de salida. Nuestra soluci\u00f3n de seguridad<\/a><\/strong> para proteger MS Office 365<\/strong> analiza los datos intercambiados mediante Teams para evitar que el malware<\/em><\/strong> se expanda por toda la red corporativa<\/strong>.<\/p>\n

Los datos que se env\u00edan al servidor, ya sea por las conversaciones o las videollamadas<\/strong>, se cifran, pero, al igual que en las aplicaciones de videoconferencias anteriores, no<\/em> se trata de un cifrado de extremo a extremo<\/strong>. Y ya que hablamos de almacenamiento y procesamiento, la informaci\u00f3n nunca abandona la zona en la que opera la empresa.<\/p>\n

<\/h3>\n

Vulnerabilidades<\/h3>\n

No es mala idea monitorear las vulnerabilidades en Teams<\/a><\/strong>. Microsoft<\/strong> suele parchar las vulnerabilidades muy r\u00e1pido, pero siguen apareciendo de vez en cuando. Por ejemplo, los investigadores descubrieron recientemente una vulnerabilidad<\/a><\/strong> (ya parchada) que permit\u00eda tomar el control de la cuenta.<\/p>\n

\u00a0<\/p>\n

Skype Empresarial<\/h2>\n

La versi\u00f3n en la nube de Skype Empresarial<\/a><\/strong>, el predecesor de Teams en Office 365<\/strong>, se est\u00e1 convirtiendo poco a poco en cosa del pasado, pero a\u00fan puedes instalarlo de modo local<\/a><\/strong>.<\/strong> Algunos usuarios lo consideran m\u00e1s pr\u00e1ctico que Teams<\/strong>, y Microsoft<\/strong> seguir\u00e1 ofreciendo soporte a la versi\u00f3n local de Skype durante un par de a\u00f1os.<\/p>\n

<\/h3>\n

Seguridad<\/h3>\n

Skype Empresarial<\/strong> cifra la informaci\u00f3n, pero no de extremo a extremo, adem\u00e1s, la protecci\u00f3n de los servicios no se puede configurar. Esta aplicaci\u00f3n de videoconferencias<\/strong> tambi\u00e9n utiliza un software<\/em> de servidor local, por lo que las videollamadas y otros datos no abandonar\u00e1n nunca la red corporativa<\/a><\/strong>, lo que supone una ventaja obvia.<\/p>\n

<\/h3>\n

Vulnerabilidades e inconvenientes<\/h3>\n

El soporte de este producto no durar\u00e1 para siempre, lo cual lo dejar\u00e1 vulnerable frente a ataques como el spyware<\/em> comercial<\/a><\/strong>. A menos que Microsoft<\/strong> cambie de planes, el soporte de esta aplicaci\u00f3n de videollamadas finalizar\u00e1 en julio del 2021 y el de Skype empresarial<\/strong> Server 2019, hasta el 14 de octubre del 2025.<\/p>\n

<\/h2>\n

WebEx Meetings and WebEx Teams<\/h2>\n

Cisco WebEx Meetings<\/strong> es un servicio centrado exclusivamente en las videoconferencias<\/strong> y Cisco WebEx Teams<\/strong> es una herramienta completa para el cotrabajo que, entre otras cosas, permite las videollamadas<\/strong>. En lo que respecta a esta publicaci\u00f3n, la diferencia est\u00e1 en la estrategia de cifrado<\/strong>.<\/p>\n

<\/h3>\n

Seguridad<\/h3>\n

Cisco WebEx Meetings<\/strong> incluye servicios para empresas y cifrado de extremo a extremo (la opci\u00f3n est\u00e1 desactivada por defecto, pero el proveedor la activa<\/a><\/strong> bajo solicitud. Esto limita de alguna forma la funcionalidad de la herramienta, pero si tus empleados manejan informaci\u00f3n confidencial en las reuniones, sin duda es una opci\u00f3n que deber\u00edas tener en cuenta).<\/p>\n

\u00a0<\/p>\n

Vulnerabilidades e inconvenientes<\/h3>\n

Solo este marzo, el proveedor parch\u00f3 dos vulnerabilidades en WebEx Meetings<\/a><\/strong> que amenazaban la ejecuci\u00f3n de c\u00f3digo remoto<\/strong>. Y a principios del a\u00f1o pasado, se descubri\u00f3 un error grave en el cliente WebEx Teams<\/a><\/strong>\u00a0 que permit\u00eda la ejecuci\u00f3n de comandos con los privilegios del usuario<\/a><\/strong>. Aun as\u00ed, Cisco<\/strong> es famosa por tomarse muy en serio la seguridad de las videollamadas y actualizar sus servicios r\u00e1pidamente.<\/p>\n

<\/h2>\n

WhatsApp<\/h2>\n

WhatsApp<\/strong> se desarroll\u00f3 como una herramienta para la comunicaci\u00f3n social<\/strong>, y no empresarial, pero esta aplicaci\u00f3n gratuita puede cubrir las necesidades de videoconferencia que necesita cualquier equipo o empresa peque\u00f1a. Este programa no es adecuado para grandes empresas, ya que las videoconferencias solo admiten a cuatro participantes<\/a><\/strong> a la vez.<\/p>\n

<\/h3>\n

Seguridad<\/h3>\n

WhatsApp<\/strong> cuenta con una ventaja indiscutible: un aut\u00e9ntico cifrado de extremo a extremo<\/a><\/strong>. Por tanto, ni terceras partes ni los empleados de WhatsApp podr\u00e1n ver tus videollamadas<\/strong>. Pero, a diferencia de las aplicaciones empresariales, WhatsApp apenas ofrece opciones de gesti\u00f3n de seguridad para tus llamadas o conversaciones, solo lo que ya est\u00e1 incorporado por defecto.<\/p>\n

\u00a0<\/p>\n

Vulnerabilidades e inconvenientes<\/h3>\n

El a\u00f1o pasado, unos atacantes distribuyeron el spyware Pegasus<\/a><\/em><\/strong> mediante las videollamadas<\/strong> de<\/strong> WhatsApp<\/strong>. Este error se solucion\u00f3, pero, recuerda, la aplicaci\u00f3n no est\u00e1 dise\u00f1ada para ofrecer una protecci\u00f3n a nivel empresarial, por lo que, como m\u00ednimo, los usuarios deber\u00e1n seguir de cerca las noticias de ciberseguridad.<\/p>\n

\u00a0<\/p>\n

Zoom<\/h2>\n

Zoom<\/strong>, una plataforma de videoconferencia<\/strong> en la nube de la empresa<\/a> <\/strong>, lleva acaparando los titulares desde los inicios de la pandemia de coronavirus<\/strong>. Sus precios flexibles (con conferencias gratuitas de 40 minutos con un total de hasta 100 participantes) y su facilidad de uso ha atra\u00eddo a much\u00edsimos usuarios, pero los puntos d\u00e9biles de la plataforma no han dejado indiferente a nadie. Por ello, te recomendamos seguir estos consejos de seguridad en Zoom<\/a><\/strong>.<\/p>\n

\u00a0<\/strong><\/p>\n

Seguridad<\/h3>\n

El servicio cumple con el est\u00e1ndar de seguridad internacional<\/strong> SOC 2<\/a><\/strong>, ofrece un plan de servicio aparte compatible con HIPAA<\/strong> para proveedores de atenci\u00f3n m\u00e9dica<\/strong> y cuenta con unos par\u00e1metros de configuraci\u00f3n flexibles. Los organizadores de la sesi\u00f3n pueden bloquear a participantes, aunque estos cuenten con el hiperv\u00ednculo y la contrase\u00f1a correctos, prohibir la grabaci\u00f3n, etc. Si fuera necesario, Zoom<\/strong> puede configurarse de forma que no salga tr\u00e1fico de la empresa.<\/p>\n

Zoom ha estado respondiendo a las vulnerabilidades<\/strong> y afirma que tiene pensado priorizar la seguridad del producto<\/a><\/strong> frente a la integraci\u00f3n de nuevas funciones.<\/p>\n

\u00a0<\/p>\n

Vulnerabilidades e inconvenientes<\/h3>\n

Zoom<\/strong> afirma haber implementado un cifrado de extremo a extremo<\/strong>, pero est\u00e1 afirmaci\u00f3n no est\u00e1 de todo justificada. Con un cifrado de extremo a extremo, solo el remitente y el destinatario pueden leer los datos intercambiados, pero Zoom descifra los datos<\/a><\/strong> de los v\u00eddeos en sus servidores y no siempre en el pa\u00eds de origen de tu empresa<\/a><\/strong>.<\/p>\n

\u00a0<\/p>\n

Se han descubierto vulnerabilidades de Zoom<\/strong> diferentes niveles de gravedad en sus aplicaciones. Los clientes de Zoom en Windows<\/a><\/strong>\u00a0 y macOS<\/a><\/strong>\u00a0 han informado sobre un error (ya solucionado<\/a><\/strong>) que permit\u00eda a los atacantes robar los datos de la cuenta de la computadora. Dos errores en la aplicaci\u00f3n de macOS<\/a><\/strong> permit\u00edan que los cibercriminales tomaran el control por completo del dispositivo.<\/p>\n

\u00a0<\/p>\n

Adem\u00e1s, surgieron muchas noticias de troles de Internet<\/a><\/strong> que visitaban conferencias abiertas en Zoom, sin contrase\u00f1a, para publicar comentarios y compartir su pantalla con contenido obsceno. En general, puedes solucionar este problema de seguridad en Zoom si configuras la privacidad<\/a><\/strong> de tu conferencia de la forma correcta, pero Zoom tambi\u00e9n ha a\u00f1adido una protecci\u00f3n con contrase\u00f1a por defecto<\/a><\/strong> para mantenerte a salvo de miradas indiscretas.<\/p>\n

\u00a0<\/p>\n

Las noticias sobre los problemas de seguridad<\/strong> en<\/strong> Zoom<\/strong> han provocado que grandes actores menospreciaran el servicio. Pero todos los servicios tienen vulnerabilidades y, en el caso de Zoom<\/strong>, la explosi\u00f3n de popularidad ha tra\u00eddo consigo un escrutinio tremendo.<\/p>\n

\u00a0<\/p>\n

Elige la aplicaci\u00f3n de videoconferencia que mejor te convenga<\/h2>\n

No existe ninguna aplicaci\u00f3n de videoconferencia<\/strong> que sea 100 % segura, ni ning\u00fan otro tipo de aplicaci\u00f3n. Por tanto, qu\u00e9date con ese servicio cuyos inconvenientes no supongan ning\u00fan problema para tu empresa. Y, recuerda, elegir la aplicaci\u00f3n correcta es tan solo el primer paso.<\/p>\n