Software seguro para videoconferencias: cómo garantizar tu privacidad
La videoconferencia es una poderosa herramienta que permite la comunicación cara a cara y en tiempo real entre colegas de todo el mundo. Con la ayuda de la videoconferencia, un ejecutivo de negocios de Argentina puede realizar una reunión virtual con los responsables de su fábrica en China, un director de ventas puede hacer una demostración de un nuevo producto a los representantes de ventas de todo el país. O los altos mandos militares en el Pentágono pueden enviar nuevas órdenes a soldados en el campo.
Сómo garantizar tu privacidad
La seguridad es crucial para las videoconferencias. Durante una videoconferencia, la información y los datos sensibles viajan a través de las redes internas y externas, donde son susceptibles a la mirada indiscreta de los hackers. Si una red es hackeada, las transmisiones de la reunión se convierten en la propia cámara de vigilancia privada del hacker, que graba y retransmite secretos corporativos e inteligencia clasificada.
La seguridad de las videoconferencias no solo es lo mejor para una empresa, sino que es la ley. Las recientes normativas gubernamentales, como la Ley de Transferencia y Responsabilidad del Seguro Médico (HIPAA) o el GDPR, exigen que los proveedores de servicios médicos, las instituciones financieras y otras empresas protejan todos los datos electrónicos relacionados con sus clientes y pacientes. Eso incluye todas las transmisiones electrónicas de datos personales de los clientes, incluso las videoconferencias.
Dado que trabajar desde casa se ha convertido en la nueva normalidad, y que las reuniones tanto internas como externas se están realizando de forma virtual más que nunca, las organizaciones están evaluando soluciones de videoconferencia y colaboración remota. A raíz de las últimas noticias sobre las vulnerabilidades de seguridad de Zoom, decidimos examinar más de cerca otras opciones y ver cuál se adaptaría mejor a nuestras necesidades.
Una descripción general de las herramientas de videoconferencia y colaborativas
Google Meet
Google Meet tiene un cifrado y rendimiento similares a los de Google Hangouts, pero se ha creado desde cero para una mayor compatibilidad con los entornos empresariales, permitiendo que hasta 250 usuarios participen en las llamadas. No es necesario acceder a una cuenta de Google para participar en una reunión. Sin embargo, no puedes alojar Google Meet en tu propio servidor.
Seguridad
Google Meet es la principal herramienta de videochat de Google para organizaciones y empresas, a la que llaman Google Workspace. Con el tiempo, Google Meet también sustituirá a la antigua versión para consumidores de Google Hangouts. Para que su servicio sea más sencillo de utilizar con las demás ofertas de Google, Meet está vinculado a su cuenta de Google. Para proteger los datos que fluyen entre los dispositivos de los usuarios y los centros de datos de Google, la empresa utiliza los estándares TLS y SSL para el cifrado a nivel de tránsito. Los usuarios pueden habilitar la autenticación de dos factores con mensajes de texto, aplicaciones de autenticación o claves de seguridad compatibles con FIDO.
Vulnerabilidades
Google Meet no es compatible con el cifrado de extremo a extremo. Google utiliza DTLS-SRTP para asegurar las conexiones entre usuarios. Google almacena docenas de datos sobre la latencia y el rendimiento (por ejemplo, la tasa de bits, el ancho de banda estimado), usuarios de la reunión (por ejemplo, los organizadores de la reunión, los nombres e identificaciones de los participantes, las direcciones IP), así como detalles sobre la propia reunión, como el nombre, la fecha y la identificación del calendario del evento.
Los investigadores de seguridad han señalado recientemente una vulnerabilidad en la función de redireccionamiento de URL de Google Meet que puede llevar a los usuarios a falsificar dominios y convertirse en víctimas de la ciberdelincuencia. Si se une a una reunión por teléfono, el audio es transportado por la red telefónica y podría no estar cifrado.
Slack
Slack admite videochat para un máximo de 15 usuarios. Al igual que otras partes del servicio de Slack, no está cifrado de extremo a extremo y requiere que los usuarios inicien sesión en su cuenta de Slack. No admite el autohospedaje.
Seguridad
La transmisión de todos los datos entre clientes de Slack y el servicio de Slack se realiza utilizando protocolos de encriptación fuertes. Slack es compatible con las últimas suites de cifrado seguras recomendadas para cifrar todo el tráfico en tránsito, incluyendo el uso de los protocolos TLS 1.2, el cifrado AES256 y las firmas SHA2, siempre que los clientes lo admitan. Los datos en reposo en la red de producción de Slack se encriptan utilizando los estándares de encriptación FIPS 140-2, que se aplican a todos los tipos de datos en reposo dentro de los sistemas de Slack: bases de datos relacionales, almacenes de archivos, copias de seguridad de bases de datos, etc. Todas las claves de cifrado se almacenan en un servidor seguro en una red segregada con acceso muy limitado.
Vulnerabilidades
Si va a utilizar Slack para cualquier propósito empresarial, necesita tener muy claro los riesgos que conlleva, así como el grado en que pueden ser mitigados.
En 2015 Slack fue hackeado, revelando brechas en su seguridad. La compañía anunció que durante cuatro días sus sistemas habían sido hackeados, comprometiendo algunos de los datos de sus usuarios. Esto incluía direcciones de correo electrónico, nombres de usuario, contraseñas encriptadas. Slack también detectó algunas actividades sospechosas en las cuentas de los usuarios, lo que sugiere que al menos algunas cuentas se vieron comprometidas.
Se descubrió otra brecha de seguridad en Slack que permitía a los hackers explotar remotamente una vulnerabilidad en Slack para alterar el lugar de descarga de los archivos enviados a través de Slack, lo que les permitía inyectar malware o alterar la información.
Una vulnerabilidad crítica de la aplicación de colaboración Slack también permitía la ejecución remota de código (RCE). Los hackers podrían obtener el control remoto completo sobre la aplicación de escritorio de Slack con un exploit exitoso, y por lo tanto, el acceso a los canales privados, conversaciones, contraseñas, tokens y claves, y varias funciones.
Skype
Skype es la aplicación de videochat para consumidores de Microsoft, que ofrece videoconferencias fiables para hasta 100 personas. Mediante Meet Now, Skype permite a los anfitriones invitar a cualquier persona a unirse a una reunión sin necesidad de registrarse con una cuenta. No está encriptado de extremo a extremo y no se puede autohospedar.
Seguridad
Skype utiliza el estándar AES (Advanced Encryption Standard*), también conocido como Rijndael, que es utilizado por el Gobierno de EE.UU. para proteger información sensible, y desde hace algún tiempo Skype siempre ha utilizado el fuerte cifrado 256 bits. Las claves públicas de los usuarios son certificadas por el servidor de Skype al iniciar sesión mediante certificados RSA de 1536 o 2048 bits.
Vulnerabilidades
Skype no utiliza el cifrado de extremo a extremo por defecto. Esto significa que todos los mensajes, llamadas y archivos pueden ser vistos por Microsoft.
Microsoft registra las interacciones de los usuarios, incluyendo:
- A quién llama
- Hora y duración de las llamadas
- Historial de chat
- Archivos enviados y recibidos
- Números de teléfono a los que se ha llamado
- Estado de la actividad
Microsoft afirma que también obtiene datos sobre los usuarios a través de terceros, entre los que se encuentran los corredores de datos.
Microsoft utiliza los datos personales para la publicidad dirigida, la personalización, la investigación y el desarrollo, y para mejorar sus productos. Sus datos se comparten con las filiales, subsidiarias y proveedores de Microsoft. También puede entregar sus datos en respuesta a una solicitud legal.
Puede gestionar algunos de los datos que Microsoft posee sobre usted, pero no todos, utilizando su panel de privacidad en línea.
Webex
La plataforma de videoconferencias Webex existe desde 1995 y es una de las favoritas de los sectores de salud, tecnología de la información y servicios financieros, preocupados por la privacidad. Esto se debe, en parte, al hecho de que los tres sectores solían recurrir a las reuniones virtuales mucho antes de la pandemia de Covid-19, pero sobre todo a que Webex tiene fama de mantener una sólida ciberseguridad. Cisco, su empresa matriz, es un líder de la industria en hardware, software y productos de seguridad para redes.
Seguridad
Al igual que muchos servicios, por defecto Webex de Cisco hace que los datos de los usuarios sean legibles para el servidor, pero a diferencia de muchos de sus competidores también ofrece un cifrado opcional de extremo a extremo para hasta 200 usuarios. Los usuarios con una cuenta gratuita pueden ponerse en contacto con el servicio de atención al cliente de Webex para activar el cifrado de extremo a extremo. Cisco Webex está eliminando su opción de servidor de reuniones autohospedadas. Sin embargo, Cisco ofrece un producto diferente (Cisco Meeting Server) para las videollamadas autohospedadas.
Vulnerabilidades
Los productos de Webex y Cisco han tenido problemas de seguridad en el pasado. Por ejemplo, las fallas en Webex habrían permitido que los intrusos tuvieran acceso completo a una reunión sin ser vistos. En 2021, múltiples vulnerabilidades en Cisco Webex Network Recording Player y Cisco Webex Player para Windows podrían permitir a un hacker ejecutar códigos arbitrarios en un sistema afectado.
Con más de dos mil millones de usuarios, es muy probable que tenga amigos en WhatsApp. Utiliza el mismo cifrado que Signal, por lo que también está cifrado de extremo a extremo. WhatsApp es propiedad de Facebook y, aunque no puede compartir el contenido de sus conversaciones, sí que comparte bastante información con la compañía. Por ejemplo, WhatsApp comparte las listas de contactos de los usuarios con Facebook, entre otras cosas. Si se siente cómodo con Facebook, WhatsApp es una forma fiable de chatear por video con un grupo de hasta ocho personas. No se puede autohospedar.
Seguridad
El cifrado de extremo a extremo de WhatsApp garantiza que sólo usted y la persona con la que se está comunicando puedan leer lo que se envíe. Sin intermediarios, ni siquiera WhatsApp, puede leer los mensajes. Los mensajes están asegurados con candados, y sólo el destinatario tiene la llave especial para desbloquearlos y leer los mensajes. WhatsApp utiliza el protocolo Signal desarrollado por Open Whisper Systems.
Vulnerabilidades
En enero de 2021, WhatsApp anunció una actualización de la Política de Privacidad que establece que WhatsApp almacenará los metadatos de los usuarios y los compartirá con Facebook y su “familia de empresas” (como Facebook, Facebook Messenger, Instagram) a partir de febrero de 2021. Anteriormente, los usuarios podían optar por no compartir estos datos, pero la nueva política elimina esta opción. El cifrado de extremo a extremo no funciona en las cuentas empresariales de WhatsApp. Entonces, ¿qué datos de los usuarios serán cedidos por WhatsApp a Facebook? Por ejemplo, los datos que WhatsApp puede recopilar son qué teléfono móvil utiliza (modelo de hardware), qué sistema operativo utiliza, su zona horaria, dirección IP a través de la cual se puede rastrear su ubicación exacta (a menos que utilice VPN o Tor, que oculta su dirección IP), su foto de perfil y su estado, su número de teléfono, la información sobre todos sus contactos que se guarda en su WhatsApp, el porcentaje de batería de su dispositivo, la potencia de la red en su dispositivo, la versión de la aplicación, la información del navegador, la información de conexión (incluyendo el número de teléfono, operador móvil o ISP), el idioma, acerca de y la última vez visto.
Zoom
A medida que la pandemia del coronavirus obligaba a millones de personas a quedarse en casa durante los últimos dos meses, Zoom se convirtió en el servicio de reuniones de video preferido: El historial de Zoom en cuanto a prácticas de seguridad y privacidad bien documentado. Los investigadores de seguridad han descubierto afirmaciones engañosas sobre su encriptación, así como una serie de vulnerabilidades que podrían exponer los datos de los usuarios. Zoom no puede autohospedarse.
Seguridad
El video, el audio y la pantalla compartida se protegen durante el tránsito con el Estándar de Cifrado Avanzado (AES) 256 utilizando una clave de un solo uso para esa sesión específica cuando se utiliza un cliente de Zoom.
Se puede habilitar la Encriptación de extremo a extremo. La Encriptación Avanzada del Chat, cuando está activada, permite una comunicación segura en la que sólo el destinatario puede leer el mensaje protegido.
Vulnerabilidades
Se han detectado decenas de problemas de seguridad y privacidad en Zoom. Desde las funciones de seguimiento de la atención incorporadas hasta el reciente aumento del “Zoombombing” (en el que personas no invitadas entran e interrumpen las reuniones, a menudo con contenido de odio o pornográfico), las prácticas de seguridad de la empresa han llamado más la atención, junto con al menos tres demandas.
TrueConf
TrueConf ofrece una plataforma de colaboración autohospedada que funciona sin conexión a internet en su red LAN/VPN. Con TrueConf, es libre de aprovechar al máximo todas las ventajas que ofrece la solución de videoconferencia de forma local, mientras que todas las comunicaciones, grabaciones de las reuniones y los datos personales permanecen dentro de la red de su empresa bajo su supervisión.
Seguridad
Además de que todos los flujos de multimedia se encriptan con AES-256 y se entregan a través de conexiones TLS seguras, el servidor de videoconferencia se encuentra en las instalaciones de su empresa. El acceso de terceros al servidor está restringido. Las cuentas de usuario se almacenan de forma segura en el entorno de su empresa. Sólo el administrador del sistema tiene acceso a los datos personales de los usuarios.
Vulnerabilidades
Los recursos de su servidor no se comparten con usuarios y empresas de terceros, lo que crea muy pocas posibilidades de acceder a sus datos.
| TrueConf | Google Meet | Slack | Skype | Webex | Zoom | ||
|---|---|---|---|---|---|---|---|
| Número máximo de participantes | 1 500 | 250 | 15 (con las suscripciones de pago) | 50 | 1,000 | 8 | 100 |
| Versión gratuita | 50 usuarios/anfitriones para reuniones simétricas y colaboración. | Conferencia web con 1 anfitrión, hasta 100 participantes, no más de 60 minutos por reunión. | Solo videollamadas | Videoconferencia de hasta 50 participantes, no más de 4 horas | Videoconferencia de hasta 100 participantes, no más de 50 minutos | Videoconferencia de hasta 8 participantes | Conferencias web con 1 anfitrión, con hasta 100 participantes, no más de 40 minutos. |
| Medidas de seguridad | Cifrado TLS + AES de 256 bits, implementación local, operación fuera de línea | Sin cifrado de extremo a extremo | Sin cifrado de extremo a extremo | Cifrado TLS + AES de 256 bits | Sin cifrado de extremo a extremo | Sin cifrado de extremo a extremo | Cifrado TLS + AES de 256 bits |
| Implementación autohospedada |  |  | | | | | |
| Privacidad | | | | | | | |
¿Listo para empezar a realizar videoconferencias seguras?
La seguridad es una consideración importante a la hora de organizar reuniones virtuales. Nuestra recomendación es dar prioridad a sus videollamadas activas y a grabaciones en reposo con un alto nivel de seguridad, así como lo haría con una tecnología de mantenimiento de registros en la nube o de intercambio de archivos.
Tanto si está investigando sobre videoconferencias por primera vez o si está reevaluando a los proveedores para la siguiente fase de su solución de conferencia y colaboración, la seguridad debe ser siempre un componente de alta prioridad en su búsqueda. Con las mejores prácticas de seguridad integradas en cada elemento de TrueConf y funciones especializadas como salas de reuniones virtuales de un solo uso y reuniones protegidas por contraseña, TrueConf ofrece la mejor calidad de su clase para los equipos que se toman en serio la seguridad.