Kaspersky analizó varios servicios y nos dice qué nivel de protección ofrecen
Las videollamadas se han vuelto muy populares por la pandemia.
Debido a la cuarentena por el coronavirus Covid-19 millones de personas en todo el mundo han recurrido a los servicios de videollamadas para mantener reuniones de trabajo o sentirse más cerca de aquellos a quienes extrañan. Sin embargo, luego de que se dieran a conocer algunos problemas de seguridad con estas plataformas muchos tienen desconfianza al utilizarlas. Por ello es importante aprender a configurarlas.
Un equipo de la firma de ciberseguridad de Kaspersky se dio a la tarea de evaluar los mecanismos de protección de datos de las plataformas de videollamadas más populares y comparten algunos tips para utilizarlas.
GOOGLE MEET Y GOOGLE DUO
Entre las ventajas de Meet, el proveedor cita una infraestructura fiable para el procesamiento de datos, cifrado (aunque no de extremo a extremo) y un conjunto de herramientas de protección. Como la mayoría del resto de productos empresariales, G Suite, incluido Google Meet, cumple con los estándares de seguridad avanzados y ofrece opciones de configuración y gestión de derechos de acceso entre sus configuraciones de privacidad.
A su vez, la aplicación móvil Google Duo protege los datos con un cifrado de extremo a extremo. No obstante, se trata de una aplicación de videoconferencia diseñada para usuarios particulares, no para empresas. Sus conferencias solo pueden admitir hasta 12 participantes.
Posibles vulnerabilidade
“Además de algunos mensajes que nos recuerdan que Google recopila los datos de los usuarios y que, por tanto, puede ser una amenaza para los secretos comerciales, no pudimos encontrar información concreta sobre el rendimiento de seguridad de estas aplicaciones de videoconferencia. Eso no quiere decir que los servicios de Google sean perfectos, sino que están respaldados por un equipo de seguridad muy fuerte que suele poner solución a los problemas”, señala Kaspersky.
TEAMS
Microsoft Teams se integra con Office 365, lo que representa su principal ventaja para un usuario corporativo. En respuesta al aumento de la demanda de herramientas para el teletrabajo, Microsoft ahora ofrece una prueba gratuita de seis meses de Teams, pero los usuarios de esta prueba no podrán configurar los ajustes y políticas, exponiéndose así a un posible compromiso de su seguridad.
Teams cumple con un gran número de estándares internacionales, se puede configurar para trabajar con datos médicos confidenciales y presume de unas opciones flexibles para la gestión de la seguridad. Bajo algunos planes de servicio, se pueden integrar en Teams herramientas adicionales, como una DLP o el análisis de los archivos de salida.
Los datos que se envían al servidor, ya sea por las conversaciones o las videollamadas, se cifran, pero no de extremo a extremo. Y ya que hablamos de almacenamiento y procesamiento, la información nunca abandona la zona en la que opera la empresa.
Posibles vulnerabilidades
No es mala idea monitorear las vulnerabilidades en Teams. Microsoft suele parchar las vulnerabilidades muy rápido, pero siguen apareciendo de vez en cuando. Por ejemplo, los investigadores descubrieron recientemente una vulnerabilidad (ya parchada) que permitía tomar el control de la cuenta.
WEBEX MEETINGS
Cisco WebEx Meetings es un servicio centrado exclusivamente en las videoconferencias que incluye servicios para empresas y cifrado de extremo a extremo. La opción está desactivada por defecto, pero el proveedor la activa bajo solicitud. Esto limita de alguna forma la funcionalidad de la herramienta, pero si tus empleados manejan información confidencial en las reuniones, sin duda es una opción que deberías tener en cuenta.
Posibles vulnerabilidades
Solo en marzo, el proveedor parchó dos vulnerabilidades que amenazaban la ejecución de código remoto. Aun así, Cisco es famosa por tomarse muy en serio la seguridad de las videollamadas y actualizar sus servicios rápidamente.
WhatsApp se desarrolló como una herramienta para la comunicación social, y no empresarial, pero esta aplicación gratuita puede cubrir las necesidades de videoconferencia que necesita cualquier equipo o empresa pequeña. Este programa no es adecuado para grandes empresas, ya que las videoconferencias solo admiten a cuatro participantes a la vez.
WhatsApp cuenta con una ventaja indiscutible: un auténtico cifrado de extremo a extremo. Por tanto, ni terceras partes ni los empleados de WhatsApp podrán ver tus videollamadas. Pero, a diferencia de las aplicaciones empresariales, WhatsApp apenas ofrece opciones de gestión de seguridad para tus llamadas o conversaciones, solo lo que ya está incorporado por defecto.
Posibles vulnerabilidades
El año pasado, unos atacantes distribuyeron el spyware Pegasus mediante las videollamadas de WhatsApp. Este error se solucionó, pero, recuerda, la aplicación no está diseñada para ofrecer una protección a nivel empresarial, por lo que, como mínimo, los usuarios deberán seguir de cerca las noticias de ciberseguridad.
ZOOM
Sus precios flexibles (con conferencias gratuitas de 40 minutos con un total de hasta 100 participantes) y su facilidad de uso ha atraído a muchísimos usuarios, pero los puntos débiles de la plataforma no han dejado indiferente a nadie.
Aun así, Zoom cumple con el estándar de seguridad internacional SOC 2, ofrece un plan de servicio para proveedores de atención médica y cuenta con unos parámetros de configuración flexibles. Los organizadores de la sesión pueden bloquear a participantes, aunque estos cuenten con el hipervínculo y la contraseña correctos, prohibir la grabación, etc. Si fuera necesario, Zoom puede configurarse de forma que no salga tráfico de la empresa.
Posibles vulnerabilidades
Zoom afirma haber implementado un cifrado de extremo a extremo, pero está afirmación no está de todo justificada. Con un cifrado de extremo a extremo, solo el remitente y el destinatario pueden leer los datos intercambiados, pero Zoom descifra los datos de los videos en sus servidores y no siempre en el país de origen de tu empresa.
Asimismo se han descubierto vulnerabilidades de diferentes niveles de gravedad. Los clientes de Zoom en Windows y macOS han informado sobre un error (ya solucionado) que permitía a los atacantes robar los datos de la cuenta de la computadora. Dos errores en la aplicación de macOS permitían que los cibercriminales tomaran el control por completo del dispositivo.
Además, surgieron muchas noticias de troles de Internet que visitaban conferencias abiertas en Zoom, sin contraseña, para publicar comentarios y compartir su pantalla con contenido obsceno. En general, puedes solucionar este problema de seguridad si configuras la privacidad de tu conferencia de la forma correcta, pero Zoom también ha añadido una protección con contraseña por defecto para mantenerte a salvo de miradas indiscretas.
¿CUÁL ELEGIR?
Kaspersky concluye que no existe ninguna aplicación de videoconferencia que sea 100 % segura, por lo tanto recomienda elegir el servicio cuyos inconvenientes no supongan ningún problema para tu empresa.
Asimismo enfatiza la importancia de configurar la privacidad de forma correcta y de actualizar rápidamente las aplicaciones para parchar las vulnerabilidades lo antes posible.
Por último aconseja que los empleados cuenten al menos con habilidades básicas de ciberseguridad y comportamiento seguro en Internet. De no ser así más vale organizar una capacitación.
Comisión de Tecnologías de la Información