Videollamadas y videoconferencias en línea: cómo mantenerse a salvo de los hackers

Desde la llegada de la Covid-19, muchas actividades que solían realizarse en persona, pasaron a realizarse en línea. Tanto para la educación de los niños a distancia y el teletrabajo a gran escala como para mantener el contacto con familia y amigos, confiamos cada vez más en Internet para mantenernos conectados, y parece ser una tendencia que va a continuar creciendo.

Las videoconferencias cumplen una función principal en esto. En abril del 2020, Zoom anunció que tenía 300 millones de participantes en reuniones al día, anteriormente contaba con 10 millones diarios en diciembre de 2019, algo que implica un aumento de 30 veces el número de participantes en tan solo 4 meses. La pandemia produjo que la aplicación Zoom sea una de las más descargadas en los últimos meses. Estudiantes, profesores, familiares y grupos de comunidades de todos los tamaños utilizan videoconferencias para llevar a cabo tareas y actividades. También lo hacen usuarios de alto perfil como Alan Greenspan, expresidente de la reserva federal de Estados Unidos, y Boris Johnson, primer ministro Británico. Pero ¿qué tan seguros son los servicios de videochat y qué pude hacer para mantener su seguridad?

Exploraremos los problemas relacionados con la seguridad de las videoconferencias y qué puede hacer para que las videollamadas sean más seguras.

¿Qué tan seguras son las videollamadas y las teleconferencias en línea?

El gobierno de Estados Unidos considera que la tendencia del trabajo remoto es un asunto de seguridad nacional debido al riesgo por la piratería informática. La Agencia de Seguridad Nacional (NSA) de Estados Unidos publicó recientemente una evaluación de las 13 herramientas de videochat más populares.

Algunos de los criterios de evaluación fueron:

• ¿Utiliza el servicio cifrado de extremo a extremo, lo que limita la posibilidad de que otros espíen la llamada?
• ¿Utiliza autenticación de factores múltiples, una opción que protege de forma efectiva las cuentas de los usuarios?
• ¿La tecnología en la que se basa es de código abierto que puede inspeccionarse, lo que se considera más seguro que el software de propietario imposible de inspeccionar?

• ¿Comparte la herramienta información con terceros o afiliados?
• ¿Pueden los usuarios borrar de forma segura los datos del servicio y de sus repositorios cuando lo necesiten (tanto el cliente como del lado del servidor)?

Puede leer el informe completo aquí pero, en resumen, la NSA concluye que cada uno de los servicios de videochat tiene al menos un defecto de seguridad. Por ejemplo:

• Google G Suite y Microsoft Teams no tienen cifrado de extremo a extremo y no utilizan código abierto
• Cisco WebEx, Zoom, Slack y Skype Empresarial tienen políticas de eliminación de datos que están lejos de ser óptimas
• GoToMeeting no tiene opción de autenticación de factores múltiples

La NSA le otorgó sus puntuaciones más altas a WhatsApp de Facebook, Signal (cuyo código utiliza WhatsApp) y la aplicación de chat Wickr. Si bien el informe de la NSA no incluye una conclusión concreta, es una descripción general útil de los problemas principales asociados con la seguridad en las videoconferencias, y resalta el hecho de que ninguno de los productos que se encuentran hoy en el mercado cumplen con todas las características necesarias para garantizar la seguridad.

Preocupaciones comunes relacionadas con la seguridad en las videoconferencias

Las preocupaciones comunes relacionadas con la seguridad en las videoconferencias incluyen:

¿Hay cifrado de extremo a extremo?

Es decir, videoconferencias cifradas, lo que asegura que solo pueden acceder a la comunicación los usuarios involucrados y nadie más, ni siquiera la propia aplicación. Para obtener información adicional sobre el cifrado de los datos y cómo funciona, lea nuestro artículo "¿Qué es el cifrado de datos?".

¿Pueden las videollamadas ser interceptadas y grabadas por terceros?

¿Pueden otros espiar la llamada e incluso grabarla? ¿Quiénes pueden unirse a sus llamadas y cómo pueden hacerlo? A medida que las instituciones educativas migran a Zoom para dar clases en línea, es posible que las infracciones de la privacidad lleven a problemas relacionados con la seguridad de los niños. A las reuniones de Zoom se puede acceder mediante una URL corta basado en números que los hackers pueden generar o adivinar con facilidad.

¿Cómo se utilizan los datos de su cuenta? 

 ¿En qué grado se cumplen los acuerdos de privacidad, tales como el Reglamento General de Protección de Datos de Europa o la Ley de Privacidad del Consumidor de California? ¿Qué transparentes son las aplicaciones con sus usuarios sobre qué datos se recopilan y qué terceros tienen acceso a los mismos?

¿En qué lugar del ordenador o del teléfono se almacenan los datos asociados a la aplicación de videollamadas?

Esto es especialmente relevante si tiene que lidiar con información y documentos con contenido confidencial.

Por ejemplo:

• En Skype, las fotos que recibe se guardan en su dispositivo a menos que cambie la configuración. (Vaya a Mensajes, en Configuración, en Android o iOS para cambiar la opción).
• En Zoom, si descarga el registro de conversaciones que acompaña a una videollamada, también se incluirán las conversaciones privadas entre los participantes de la llamada. Esto puede presentar un problema en las llamadas laborales, en las que puede mantener conversaciones privadas cuyo contenido no debe ser revelado.

¿Hay medidas de vigilancia dentro de la aplicación?

Por ejemplo, se ha criticado a Zoom por su función para "comprobar que se presta atención", la cual permite a un anfitrión saber si un usuario sale de la pantalla de Zoom durante 30 segundos o más. Esta función puede permitir que los empleadores revisen si los empleados están prestando atención en realidad a una reunión laboral, o que los profesores sepan si los estudiantes están prestando atención a una presentación de forma remota.

¿Existe el potencial de que se descargue malware sin que se note y que eso pueda resultar en ataques informáticos? 

Por ejemplo, ¿podrían los usuarios descargar sin querer aplicaciones que tengan acceso a la cámara y al micrófono? La aplicación o malware podría divulgar información personal a un hacker, quien luego podría publicarla.

Con respecto a Zoom, en particular, se comunicaron varios defectos de seguridad en el pasado. Por ejemplo, en 2019, se reveló que Zoom había instalado un servidor web oculto en los dispositivos de los usuarios que permitía que se pudiese agregar un usuario a una llamada sin su permiso. Otro error permitía a los hackers tomar el control del equipo Mac de los usuarios de Zoom, lo que incluía acceder a la cámara web y al micrófono. Como respuesta a estos defectos, Zoom trabajó mucho para responder a las preocupaciones por la seguridad, y publica actualizaciones de forma regular en el blog de la empresa.

Ejemplos de casos de piratería en videconferencias

Uno de los ejemplos más comunes recientes de acceso sin permiso a llamadas es el de los "Zoom bombings". Se produce cuando los delincuentes acceden salas de chat para gritar insultos racistas o amenazas violentas. Aunque el término "Zoom bombing" viene de la aplicación Zoom, han sucedido incidentes similares en otras plataformas de videoconferencias, incluidas WebEx y Skype. El 30 de marzo de 2020, el FBI anunció que estaba investigando el creciente número de accesos sin permiso a videollamadas.

En foros como Reddit o Discord, hubo intentos coordinados de interrumpir sesiones de Zoom. En Twitter, hay varias cuentas que compartieron contraseñas de videoconferencias que eran vulnerables a que se unieran personas sin permiso. En algunas instituciones educativas, los estudiantes fomentaban la idea de acceder sin permiso como una forma de interrumpir las clases en línea.

Las reuniones de Zoom afectadas (a las que accedieron usuarios no invitados para interrumpir la sesión con insultos obscenos, racistas o antisemitas y que causaron que el anfitrión finalizase la sesión) se comparten posteriormente en plataformas de vídeo, como TikTok o Youtube.

Anteriormente, búsquedas en Google de URL que incluyeran "Zoom.us" podían dar como resultado conferencias que no estaban protegidas por contraseñas, lo que facilitaba que los hackers se unieran sin ser invitados.

Aunque el acceso de este tipo a las reuniones puede ser molesto para los participantes, hay una amenaza que puede ser más grave: los intrusos que espían sin revelar su presencia, lo que implica un riesgo muy serio tanto para la seguridad corporativa como para la privacidad individual.

Forbes comunicó recientemente que un hacker vendió más de 500 000 credenciales de Zoom robadas, entre ellas, URL privadas de reuniones y contraseñas de anfitriones de Zoom. Es posible que un gran porcentaje de esas credenciales fueran contraseñas reutilizadas que los delincuentes informáticos obtuvieron de otras fuentes.

Como respuesta, Zoom declaró lo siguiente:

 "Ya hemos contratado a múltiples empresas de inteligencia para encontrar estos contenedores de contraseñas y las herramientas utilizadas para crearlos, además de a una empresa que ha cerrado miles de sitios web que pretendían engañar a los usuarios para que descargasen malware o para que compartiesen sus credenciales. Continuamos investigando, estamos asegurando cuentas que descubrimos que estaban en riesgo, les pedimos a los usuarios que cambien su contraseña a una más segura y estamos tratando de aplicar soluciones tecnológicas adicionales para intensificar nuestros esfuerzos".

Cómo proteger sus llamadas de Zoom 

Si bien Skype es muy conocido y hace mucho que existe y FaceTime era la aplicación que las personas solían utilizar para realizar videollamadas con amigos, la aplicación de videoconferencia más popular desde que comenzó la crisis por la Covid-19 es Zoom.

El rápido incremento en la cantidad de usuarios hizo que aumentase también el número de críticas relacionadas con que Zoom no se toma en serio las preocupaciones de seguridad de las videoconferencias de los usuarios. Causó preocupación el hecho de que Zoom no posee, como muchos creían, cifrado de extremo a extremo. Zoom compartió guías para proteger las reuniones en una publicación en un blog y un vídeo, pero continúan haciendo a los usuarios responsables de su propia seguridad.

Siete consejos para ayudarle a proteger sus llamadas de Zoom

1. Proteja la sala de la reunión con contraseña y solicitando autenticación. De esta forma, solo podrán formar parte de las llamadas las personas que usted decida. Elimine a los participantes no invitados y que interrumpen las reuniones.
2. Deshabilite la opción de compartir pantalla. De esta forma, solamente podrán compartir la pantalla las personas que usted seleccione.
3. Tenga cuidado de no hacer clic en los enlaces ni abrir los documentos que le envían. Verifique mediante otro canal de comunicación que el remitente sea el que le haya enviado el enlace o documento.
4. Tenga cuidado con lo que muestra en el fondo. Por ejemplo, cambie de lugar los objetos personales o fotografías de sus hijos para que no se vean. Zoom también ofrece la oportunidad de cambiar el fondo. (Otras aplicaciones para reuniones, como Skype, le dan la opción de hacer borroso lo que tenga detrás de fondo.)
5. Tenga cuidado con lo que tiene en la pantalla antes de usar la función para compartir pantalla. Por ejemplo, si tiene abiertas pestañas, ventanas de chat privadas o documentos que muestren información financiera o personal confidencial. Tenga cuidado de no mostrar por accidente un correo electrónico con su dirección o planos cercanos de su tarjeta de identificación, tarjeta de crédito o cualquier otra información que no quiera que sea visible para desconocidos.
6. Verifique sus ajustes. Hay opciones de seguridad que no se activan por defecto. Zoom tiene diferentes configuraciones para su versión de escritorio y para dispositivos móviles. La configuración de escritorio es más detallada y ofrece más control que para la versión móvil. Por ejemplo, los anfitriones tienen más herramientas de gestión, y los usuarios solamente pueden gestionar cuentas bloqueadas en la versión de escritorio. 
7. Manténgase al día sobre las noticias con respecto a las actualizaciones para la aplicación. Estar informado le dará una mejor idea de cuáles son las distintas características de seguridad disponibles.

Cómo asegurarse de que los videochats están protegidos frente a los delincuentes informáticos

Las formas específicas de asegurarse de que cada videochat está protegido varían dependiendo de cada plataforma, por lo que es importante que se familiarice con los detalles de la plataforma que utiliza. Sin embargo, muchos de los principios más generales son iguales, independientemente de la aplicación de videochat que utilice.

Aquí puede ver algunos consejos para proteger su seguridad en los videochat:

Tenga cuidado con lo que comparte

Sea prudente a la hora de compartir contenido en línea, incluso con respecto a lo que dice o hace durante las videollamadas. Dado que existe el riesgo de que otros obtengan una grabación de la llamada o de que accedan sin permiso, tenga cuidado con lo que muestra o dice. No mencione información personal propia a menos que sea estrictamente necesario.

Tenga cuidado al compartir el enlace de la invitación

No lo comparta de forma pública en las redes sociales, correos electrónicos grupales, perfiles en línea o cualquier otro lugar donde otras personas puedan verlo. Invite a las personas mediante el propio software de videoconferencia y dígales que no compartan los enlaces.

Establezca alertas para cuando se reenvíen las invitaciones

Configure alertas para que sepa cuando se reenvían a otras personas las invitaciones a reuniones por correo electrónico. De esta forma, puede evaluar si los invitados adicionales están aprobados o averiguar más información si no lo están. Si fuera necesario, programe una nueva reunión con nueva información de acceso.

Elija una contraseña fuerte

La mayoría de las aplicaciones de videollamadas le ofrecen la capacidad de proteger las llamadas con contraseña. Elija una contraseña fuerte y no una fácil de adivinar. Utilice contraseñas diferentes fuertes para todas las aplicaciones y servicios.

Elija herramientas de videoconferencia con cifrado de extremo a extremo

Con esta función se asegura de que nadie más pueda acceder a sus comunicaciones. Las aplicaciones de vídeo más importantes con cifrado de extremo a extremo son, entre otras:

• Google Duo
• FaceTime de Apple
• WebEx de Cisco
• GoToMeeting
• WhatsApp
• Signal

Mantenga su software actualizado

Actualice las aplicaciones con frecuencia. Las brechas en la seguridad y los abusos de privacidad normalmente aparecen en versiones antiguas o no actualizadas de las aplicaciones. Las actualizaciones suelen incluir reparaciones de errores y parches de seguridad para solucionar problemas y corregir aspectos vulnerables. Mantener actualizada su aplicación de videoconferencia es una de las mejores formas para garantizar la protección contra los piratas informáticos, ya que cuando una empresa lanza un parche para arreglar un error de seguridad, el parche se aplica con la actualización. Esta es una precaución que debe aplicar en todos los entornos, no solo con las aplicaciones de videochat y videoconferencia. Mantener actualizados sus dispositivos y aplicaciones es algo muy sencillo en todas las plataformas más utilizadas. En la mayoría de las ocasiones, solo necesita confirmar las actualizaciones. Asegúrese de que los participantes en las reuniones utilicen la versión más actualizada disponible.

Cierre las reuniones una vez que hayan accedido todos los participantes

Si un participante invitado se desconecta, puede volver a abrir la reunión para que acceda de nuevo y cerrarla una vez haya accedido.

Utilice las funciones de sala de espera en el software de videoconferencia

Estas funciones colocan a los participantes en una sala virtual independiente antes de la reunión y permiten que el anfitrión deje acceder solamente a las personas que deben asistir. El líder o anfitrión en la reunión debe controlar quiénes acceden. Pida a los asistentes que hablen al comienzo de la llamada para identificar a posibles invitados desconocidos.

Conozca las reglas

Es útil saber todo lo posible sobre un software de vídeo antes de utilizarlo, así que investigue. Tómese el tiempo necesario para revisar todas las configuraciones, y revise su perfil de usuario y todas las funciones y opciones a las que tenga acceso para ver si debe cambiar algo. Si algo le parece confuso y no sabe bien qué hacer, anótelo para buscarlo más tarde y ver si necesita hacer algo al respecto.

Activación de las funciones adicionales de privacidad

Siempre es bueno que usted mismo revise la configuración de videochat para ver si hay funciones adicionales de privacidad que quiera activar.

Por ejemplo:

• En Skype, puede elegir si otros usuarios le pueden encontrar por su número de teléfono o por su dirección de correo electrónico.
• En FaceTime, puede controlar si otras personas le pueden encontrar por su número de teléfono o por su dirección de correo electrónico. Si no quiere que se pongan en contacto con usted antiguos/as compañeros/as del colegio o conocidos/as que no sean cercanos/as, puede serle útil desactivar esta opción.
• En Google Duo, está la función Toc toc, que le muestra a sus contactos la transmisión de vídeo antes de que contesten la llamada. Si no se siente cómodo/a con esta función, toque los tres puntos en la parte superior derecha en la interfaz principal de la aplicación Duo, luego en Configuración y en Toc toc para desactivarlo.

Descargue siempre las aplicaciones de la tienda de aplicaciones oficial (App Store)

Aprenda a identificar las aplicaciones falsas. Revise las calificaciones y las críticas de los usuarios, y tenga cuidado con las aplicaciones procedentes de sitios no autorizados.

Hable solamente con personas que conoce

Asegúrese de que la persona con la que está en una videoconferencia sea de confianza antes de compartir algo privado. No acepte solicitudes ni llamadas de personas desconocidas. No responda llamadas de personas desconocidas.

Configure la autenticación de factores múltiples

Esa autenticación dificulta a los delincuentes informáticos el poder acceder a los dispositivos o cuentas en línea de una persona, ya que no basta con solo saber la contraseña, sino que necesitan un PIN numérico adicional.

Cuando no esté en una llamada, asegúrese de que la aplicación no se esté ejecutando

Las empresas espían todo lo que pueden, así que no les facilite el trabajo si puede evitarlo. Tape su cámara web cuando no la esté utilizando y asegúrese de cerrar la aplicación o el programa por completo una vez que haya terminado.

Evite la grabación de las reuniones

Desactive la opción ed grabar la reunión para todos excepto para el jefe o anfitrión, o active alertas para identificar qué asistente comenzó a grabar.

Desactive todo lo que le garantice permisos excesivos a la aplicación

Por ejemplo, cualquier opción que permita que se comparta información con terceros y cualquier opción que declare que mejorará su experiencia al proporcionar acceso a sus datos para anunciantes o asociados. Desactive las configuraciones que permitan a desconocidos encontrarle, enviarle solicitudes de amistad, unirse a su grupo o a su sala, o enviarle mensajes. Desactive todas las opciones que permitan que le graben. Utilice contraseñas para todo.

No utilice la función de vídeo durante una llamada si no es necesario

Desactivar su cámara web y utilizar solamente el audio evita que se vean objetos en el fondo que podrían revelar información. Utilizar solamente el audio también ahorra ancho de banda de la conexión a Internet, lo que mejora la calidad general del audio y de las imágenes de la reunión.

Si hay muchos asistentes, evalúe utilizar funciones de webcast en lugar de una reunión por videollamada

Un webcast es una conferencia o presentación que se realiza mediante Internet. Los participantes pueden ver la presentación y enviar preguntas al ponente o interactuar con otros delegados. Los webcast le dan el control al anfitrión y a los ponentes seleccionados, lo que ayuda a tener más control en reuniones más grandes.

Tenga cuidado al utilizar redes Wi-Fi públicas

Las mismas características que hacen que los puntos de conexión Wi-Fi gratuita sean atractivos para los consumidores son los que hacen que sean apetecibles para los hackers; especialmente porque no requieren autenticación para establecer una conexión de red. Esto crea una oportunidad increíble para que los piratas informáticos obtengan acceso sin restricciones a los dispositivos sin protección de la misma red. Tenga cuidado al utilizar este tipo de conexiones.

No le preste su teléfono a nadie que no sea de confianza

Alguien con acceso físico a su teléfono puede instalar con facilidad aplicaciones para infectar su dispositivo y causarle problemas.

Recuerde: los piratas y los delincuentes cibernéticos aprovechan todas las oportunidades. Por ello, el uso más extendido de las videoconferencias llevó a que se convirtieran en un objetivo deseado para los delincuentes. A medida que evoluciona la tecnología de videollamadas, los actores más importantes tendrán que mantener sus esfuerzos para garantizar la seguridad de los usuarios.

Mientras tanto, una manera de mantenerse protegido/a es utilizar la protección antivirus de Kaspersky, que le protege frente a los virus en sus equipos personales y dispositivos Android, cuida y almacena sus contraseñas y documentos privados, además de cifrar los datos que envía y recibe en línea con una VPN.

Artículos relacionados:

• ¿Qué es el spyware?
• Cifrado de iPhone: instrucciones para cifrar su iPhone
• Toda la información sobre estafas y prevención de phishing: lo que debe saber
• ¿Qué es la privacidad de los datos?