{"id":22549,"date":"2020-04-29T13:43:58","date_gmt":"2020-04-29T11:43:58","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=22549"},"modified":"2020-04-29T13:43:58","modified_gmt":"2020-04-29T11:43:58","slug":"videoconference-software-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/videoconference-software-security\/22549\/","title":{"rendered":"Los problemas de las aplicaciones de videoconferencia"},"content":{"rendered":"

#Qu\u00e9dateEnCasa no es solo un hashtag de las redes sociales, sino tambi\u00e9n la cruda realidad de muchas empresas que, con motivo de la pandemia del coronavirus, se han visto obligadas a enviar a sus empleados a casa a trabajar en remoto. Las reuniones en persona se han visto remplazadas por las videollamadas. Pero en las conferencias corporativas se discuten de m\u00e1s cosas que el tiempo, por tanto, antes de comprometerte con una aplicaci\u00f3n de videoconferencias, echa un vistazo a sus mecanismos de protecci\u00f3n de datos. Para ser claros, no hemos probado estas aplicaciones en nuestros laboratorios, tan solo hemos revisado sus recursos a disposici\u00f3n del p\u00fablico en busca de informaci\u00f3n sobre problemas conocidos en los softwares<\/em> m\u00e1s utilizados.<\/p>\n

Google Meet y Google Duo<\/h2>\n

Google ofrece dos servicios de videollamadas: Meet y Duo. El primero es una aplicaci\u00f3n que se integra con otros servicios de Google (el G Suite). Si tu empresa utiliza este paquete, Hangouts Meet encajar\u00e1 muy bien.<\/p>\n

Seguridad: Google Meet<\/h3>\n

Entre las ventajas de Meet, el proveedor cita<\/a> una infraestructura fiable para el procesamiento de datos, cifrado (aunque no de extremo a extremo) y un conjunto de herramientas de protecci\u00f3n, todas activadas por defecto. Como la mayor\u00eda del resto de productos empresariales, G Suite, incluido Google Meet, cumple con los est\u00e1ndares de seguridad avanzados y ofrece opciones de configuraci\u00f3n y gesti\u00f3n de derechos de acceso entre sus funciones<\/a>.<\/p>\n

Seguridad: Google Duo<\/h3>\n

Por otro lado, la aplicaci\u00f3n para m\u00f3vil Duo<\/a> protege los datos con un cifrado de extremo a extremo. No obstante, se trata de una aplicaci\u00f3n dise\u00f1ada para usuarios particulares, no para empresas. Sus conferencias solo pueden acoger hasta 12 participantes.<\/p>\n

Vulnerabilidades e inconvenientes<\/h3>\n

Adem\u00e1s de algunos mensajes que nos recuerdan que Google recopila los datos de los usuarios y que, por tanto, puede ser una amenaza para los secretos comerciales, no pudimos encontrar informaci\u00f3n concreta sobre el rendimiento de seguridad de estas aplicaciones. Eso no quiere decir que los servicios de Google sean perfectos, sino que est\u00e1n respaldados por un equipo de seguridad muy fuerte que suele poner soluci\u00f3n a los problemas antes de que se generen problemas.<\/p>\n

Slack<\/h2>\n

En Slack puedes crear espacios de trabajo con conversaciones m\u00faltiples que se muestran en una \u00fanica ventana, adem\u00e1s de los canales dentro de tu espacio de trabajo dedicados a diferentes proyectos. Las conferencias tienen un l\u00edmite de 15 participantes.<\/p>\n

Seguridad<\/h3>\n

Slack cumple con una gran variedad de est\u00e1ndares de seguridad<\/a>, incluido el SOC 2. El servicio se puede configurar para trabajar con datos financieros y m\u00e9dicos y permite a las empresas seleccionar una zona para el almacenamiento de datos. Adem\u00e1s, para unirte a un espacio de trabajo necesitas una invitaci\u00f3n o una direcci\u00f3n de correo electr\u00f3nico que utilice el dominio corporativo<\/a>.<\/p>\n

Slack tambi\u00e9n ofrece a sus clientes instrumentos flexibles para la gesti\u00f3n de riesgos, integraci\u00f3n con soluciones de prevenci\u00f3n de p\u00e9rdida de datos (DLP, por sus siglas en ingl\u00e9s) y herramientas para el control al acceso de los datos. Por ejemplo, los administradores pueden restringir<\/a> el uso de Slack desde dispositivos personales y el copiado de informaci\u00f3n de sus canales.<\/p>\n

Vulnerabilidades e inconvenientes<\/h3>\n

De acuerdo con los desarrolladores de Slack, solo un n\u00famero limitado de empresas<\/a> necesita un cifrado de extremo a extremo y la implementaci\u00f3n de esta funci\u00f3n podr\u00eda limitar la funcionalidad. Por tanto, por lo que parece, Slack no tiene pensado a\u00f1adir un cifrado de extremo a extremo.<\/p>\n

Slack tambi\u00e9n te permite integrar aplicaciones de terceros, cuya seguridad no es responsabilidad de Slack.<\/p>\n

Adem\u00e1s, los investigadores encontraron vulnerabilidades, y serias, en Slack. Esta aplicaci\u00f3n ha parcheado un error que permit\u00eda a los atacantes robar datos<\/a> y otro que activaba la intercepci\u00f3n de la sesi\u00f3n de un usuario<\/a>.<\/p>\n

Teams<\/h2>\n

Microsoft Teams se integra con Office 365, lo que representa su principal ventaja para un usuario corporativo. En respuesta al aumento de la demanda de herramientas para el teletrabajo, Microsoft ahora ofrece una prueba gratuita de seis meses de Microsoft Teams, pero los usuarios de esta prueba no podr\u00e1n configurar<\/a> los ajustes y pol\u00edticas, exponi\u00e9ndose as\u00ed a un posible compromiso de su seguridad.<\/p>\n

Seguridad<\/h3>\n

Teams cumple<\/a> con un gran n\u00famero de est\u00e1ndares internacionales, se puede configurar para trabajar con datos m\u00e9dicos confidenciales y presume de unas opciones flexibles para la gesti\u00f3n de la seguridad. Bajo algunos planes de servicio, se pueden integrar en Teams herramientas adicionales, como una DLP o el an\u00e1lisis de los archivos de salida. Nuestra soluci\u00f3n para proteger MS Office 365 analiza los datos intercambiados mediante Teams para evitar que el malware<\/em> se expanda por toda la red corporativa.<\/p>\n

Los datos que se env\u00edan al servidor, ya sea por las conversaciones o las videollamadas, se cifran, pero, al igual que en las aplicaciones anteriores, no<\/em> se trata de un cifrado de extremo a extremo. Y ya que hablamos de almacenamiento y procesamiento, la informaci\u00f3n nunca abandona la zona en la que opera la compa\u00f1\u00eda.<\/p>\n

Vulnerabilidades<\/h3>\n

No es mala idea monitorizar las vulnerabilidades en Teams. Microsoft suele parchear las vulnerabilidades muy r\u00e1pido, pero siguen apareciendo de vez en cuando. Por ejemplo, los investigadores descubrieron hace poco una vulnerabilidad<\/a> (ya parcheada) que permit\u00eda la toma de control de la cuenta.<\/p>\n

Skype Empresarial<\/h2>\n

La versi\u00f3n en la nube de Skype Empresarial<\/a>, el predecesor de Teams en Office 365, se est\u00e1 convirtiendo poco a poco en cosa del pasado, pero a\u00fan puedes instalarlo en local<\/a>. Algunos usuarios lo consideran m\u00e1s pr\u00e1ctico que Teams, y Microsoft seguir\u00e1 ofreciendo soporte a la versi\u00f3n local de Skype durante un par de a\u00f1os.<\/p>\n

Seguridad<\/h3>\n

Skype Empresarial cifra la informaci\u00f3n, pero no de extremo a extremo, adem\u00e1s, la protecci\u00f3n de los servicios no se puede configurar. Tambi\u00e9n utiliza un software<\/em> de servidor local, por lo que las videollamadas y otros datos no abandonar\u00e1n nunca la red corporativa, lo que supone una ventaja obvia.<\/p>\n

Vulnerabilidades e inconvenientes<\/h3>\n

El soporte de este producto no durar\u00e1 para siempre. A menos que Microsoft cambie de planes, el soporte de esta aplicaci\u00f3n finalizar\u00e1 en julio del 2021 y el de Skype empresarial Server 2019, hasta el 14 de octubre del 2025.<\/p>\n

WebEx Meetings and WebEx Teams<\/h2>\n

Cisco WebEx Meetings es un servicio centrado exclusivamente en las videoconferencias y Cisco WebEx Teams es una herramienta completa para el cotrabajo que, entre otras cosas, permite las videollamadas. En lo que respecta a esta publicaci\u00f3n, la diferencia est\u00e1 en la estrategia de cifrado.<\/p>\n

Seguridad<\/h3>\n

Cisco WebEx Meetings incluye servicios para empresas y cifrado de extremo a extremo. (La opci\u00f3n est\u00e1 desactivada por defecto, pero el proveedor la activa<\/a> bajo solicitud. Esto limita de alguna forma la funcionalidad de la herramienta, pero si tus empleados manejan informaci\u00f3n confidencial en las reuniones, sin duda es una opci\u00f3n que deber\u00edas tener en cuenta). Cisco WebEx Teams ofrece un cifrado de extremo a extremo solo para la correspondencia y los documentos<\/a>, mientras que las videollamadas se descifran en los servidores de Cisco.<\/p>\n

Vulnerabilidades e inconvenientes<\/h3>\n

Solo este marzo, el proveedor parche\u00f3 dos vulnerabilidades en WebEx Meetings<\/a> que amenazaban la ejecuci\u00f3n de c\u00f3digo en remoto. Y a principios del a\u00f1o pasado, se descubri\u00f3 un error grave en el cliente WebEx Teams<\/a> que permit\u00eda la ejecuci\u00f3n de comandos con los privilegios del usuario. A\u00fan as\u00ed, Cisco es famosa por tomarse muy en serio la seguridad y actualizar sus servicios r\u00e1pidamente.<\/p>\n

WhatsApp<\/h2>\n

WhatsApp se desarroll\u00f3 como una herramienta para la comunicaci\u00f3n social, y no empresarial, pero esta aplicaci\u00f3n gratuita puede cubrir las necesidades de videoconferencia que necesita cualquier equipo o empresa peque\u00f1a. Este programa no es adecuado para grandes empresas, ya que las videoconferencias solo admiten a 4 participantes a la vez<\/a>.<\/p>\n

Seguridad<\/h3>\n

WhatsApp cuenta con una ventaja indiscutible: un aut\u00e9ntico cifrado de extremo a extremo<\/a>. Por tanto, ni terceras partes ni los empleados de WhatsApp podr\u00e1n ver tus videollamadas. Pero, a diferencia de las aplicaciones empresariales, WhatsApp apenas ofrece opciones de gesti\u00f3n de seguridad para tus llamadas o conversaciones, solo lo que ya est\u00e1 incorporado por defecto.<\/p>\n

Vulnerabilidades e inconvenientes<\/h3>\n

El a\u00f1o pasado, unos atacantes distribuyeron el spyware<\/em> Pegasus<\/a> mediante las videollamadas de WhatsApp. Este error se solucion\u00f3, pero, recuerda, la aplicaci\u00f3n no est\u00e1 dise\u00f1ada para ofrecer una protecci\u00f3n a nivel empresarial, por lo que, como m\u00ednimo, los usuarios deber\u00e1n seguir de cerca las noticias de ciberseguridad.<\/p>\n

Zoom<\/h2>\n

Zoom, una plataforma de videoconferencia en la nube, lleva acaparando los titulares desde los inicios de la pandemia. Sus precios flexibles (con conferencias gratuitas de 40 minutos con un total de hasta 100 participantes) y su facilidad de uso ha atra\u00eddo a much\u00edsimos usuarios, pero los puntos d\u00e9biles de la plataforma<\/a> no han dejado indiferente a nadie.<\/p>\n

Seguridad<\/h3>\n

El servicio cumple con el est\u00e1ndar de seguridad internacional SOC 2<\/a>, ofrece un plan de servicio aparte compatible con HIPAA para proveedores de atenci\u00f3n m\u00e9dica y cuenta con unos par\u00e1metros de configuraci\u00f3n flexibles. Los organizadores de la sesi\u00f3n pueden bloquear a participantes, aunque estos cuenten con el hiperv\u00ednculo y la contrase\u00f1a correctos, prohibir la grabaci\u00f3n, etc. Si fuera necesario, Zoom puede configurarse de forma que no salga tr\u00e1fico de la empresa.<\/p>\n

Zoom ha estado respondiendo a las vulnerabilidades y afirma que tiene pensado priorizar la seguridad del producto<\/a> frente a la integraci\u00f3n de nuevas funciones.<\/p>\n

Vulnerabilidades e inconvenientes<\/h3>\n

Zoom afirma haber implementado un cifrado de extremo a extremo, pero est\u00e1 afirmaci\u00f3n no est\u00e1 de todo justificada. Con un cifrado de extremo a extremo, solo el remitente y el destinatario pueden leer los datos intercambiados, pero Zoom descifra los datos de los v\u00eddeos en sus servidores<\/a> y no siempre en el pa\u00eds de origen de tu empresa<\/a>.<\/p>\n

Se han descubierto vulnerabilidades de diferentes niveles de gravedad en las aplicaciones de Zoom. Los clientes de Zoom en Windows<\/a> y macOS<\/a> han informado sobre un error (ya solucionado<\/a>) que permit\u00eda a los atacantes robar los datos de la cuenta del ordenador. Dos errores m\u00e1s en la aplicaci\u00f3n de macOS<\/a> permit\u00edan que los ciberdelincuentes tomaran el control por completo del dispositivo.<\/p>\n

Adem\u00e1s, surgieron muchas noticias de troles de Internet<\/a> que visitaban conferencias abiertas, sin contrase\u00f1a, para publicar comentarios y compartir su pantalla con contenido obsceno. En general, puedes solucionar este problema si configuras tu conferencia de la forma correcta<\/a>, pero Zoom tambi\u00e9n ha a\u00f1adido una protecci\u00f3n con contrase\u00f1a por defecto<\/a> para mantenerte a salvo de miradas indiscretas.<\/p>\n

Las noticias sobre los problemas de seguridad en Zoom han provocado que grandes actores menospreciaran el servicio. Pero todos los servicios tienen vulnerabilidades y, en el caso de Zoom, la explosi\u00f3n de popularidad ha tra\u00eddo consigo un escrutinio tremendo.<\/p>\n

Elige la aplicaci\u00f3n que mejor te convenga<\/h2>\n

No existe ninguna aplicaci\u00f3n de videoconferencia que sea 100 % segura, ni ning\u00fan otro tipo de aplicaci\u00f3n. Por tanto, qu\u00e9date con ese servicio cuyos inconvenientes no supongan ning\u00fan problema para tu empresa. Y, recuerda, elegir la aplicaci\u00f3n correcta es tan solo el primer paso.<\/p>\n