Seguridad en aplicaciones de videollamadas: Microsoft Teams, Zoom y Google Meet

Antonio Gil Moyano    15 junio, 2021
Seguridad en aplicaciones de videollamadas: Microsoft Teams, Zoom y Google Meet

No cabe duda de que los programas de mensajería se han convertido en una herramienta de comunicación imprescindible para nuestra vida personal y profesional. Tampoco hay duda de que las aplicaciones de videollamadas, o la ampliación de esta funcionalidad a las ya existentes, han sido toda una revolución durante la pandemia, donde se convirtieron en la única forma de comunicación visual debido a la implantación obligada del teletrabajo.

¿Qué opciones existen?

Son muchas las opciones, pero en este artículo nos vamos a centrar en algunas de las más profesionales, por su conexión con otras aplicaciones y funcionalidades, siempre garantizando la seguridad de la información que se comparte y la privacidad en las comunicaciones.

Se ha escrito mucho sobre esto, incluso hay varias publicaciones que hacen referencia a un informe realizado el año pasado por la Agencia de Seguridad Nacional (NSA) de Estados Unidos, donde se analizan las fortalezas y vulnerabilidades, ya que considera que el teletrabajo es un asunto de seguridad nacional.

En nuestro país también se realizan estudios por parte de organizaciones preocupadas por la seguridad nacional, de los ciudadanos y de las empresas, tales como el Instituto Nacional de Ciberseguridad (INCIBE) o el Centro Criptológico Nacional (CCN) adscrito al Centro Nacional de Inteligencia (CNI).

En nuestro, nos vamos a centrar en el informe publicado por el Centro Ciptológico Nacional (CCN – Cert), titulado «Recomendaciones de seguridad para situaciones de teletrabajo y refuerzo en vigilancia CCN-CERT BP/18«. En su capítulo 7 habla de la seguridad que debería aplicarse a las videoconferencias y reuniones virtuales.

Vamos a analizar algunas de estas recomendaciones:

  • La app/software debe provenir de repositorios verificados y autenticados como pueden ser los repositorios del fabricante o los repositorios de aplicaciones de los proveedores de la plataforma (Microsoft, Google, Apple, Samsung, LG, etc.).
  • La identificación y autenticación mediante usuario y contraseña debe cumplir unos mínimos requisitos de fortaleza (ej.: longitud mínima recomendada de caracteres, combinación de letras, números y caracteres especiales, número máximo de intentos fallidos de autenticación, etc.).
  • Las conexiones entrantes deben ser aceptadas por el usuario, no debe existir la posibilidad de autorrespuesta.
  • Deben ofrecer la posibilidad de acceder a la sesión con o sin video/audio.
  • Las sesiones de vídeo deben de cumplir al menos con los siguientes requisitos relativos a la seguridad en las comunicaciones:
    • Utilizar canales seguros TLS 1.2 en las llamadas cifradas para la señalización y AES-128 o 256 en el tráfico de media.
    • Recomendable el tráfico SRTP para audio, vídeo y contenido (media) con cifrado AES-128.
    • En tráfico UDP asegurar el cifrado AES-128 y asegurar que el intercambio inicial de claves sea sobre un canal seguro en TLS.
  • La compartición de documentos debe asegurar la confidencialidad de los datos y repositorios, según determina el Esquema Nacional de Seguridad.

Teniendo en cuentas estas recomendaciones, veamos cómo se ajustan cada una de las 3 herramientas que hemos seleccionado.

Microsoft Teams

Sin duda cumple con todos los requisitos que se necesita para una solución de videoconferencia «corporativa», no solo por venir de un fabricante de confianza, sino porque toda la seguridad y funcionalidad vienen configuradas en Microsoft 365 y Office365. Eso la hace robusta y estable pero, sobre todo, confiable, que es lo que necesitamos las empresas y profesionales para utilizar una solución de estas características. 

En esta guía, editada por Microsoft en Octubre del 2020, se puede ver más en detalle todos los aspectos relativos sobre como Teams controla las amenazas comunes de seguridad:

  • Ataque mediante clave conocida
  • Ataque por denegación de servicio de red
  • Interceptación
  • Suplantación de identidad (imitación de direcciones IP)
  • Ataque de intermediario
  • Ataque de reproducción RTP
  • Mensajes instantáneos no deseados
  • Malware, virus…

 Zoom

Posiblemente sea la solución de videoconferencia más utilizada en el ámbito profesional y personal, se hizo muy popular durante el confinamiento debido a que es fácil en su manejo, de bajo coste de uso y cuenta incluso con un plan gratuito, aunque mejorable en cuanto a seguridad se refiere.

En el apartado de privacidad y seguridad de su página aparecen consejos sobre:

  • Cómo configurar Zoom antes de iniciar una reunión.
  • Ajustes de seguridad para bloquear una reunión, expulsar, silenciar o denunciar participantes, desactivar transferencia de archivos o anotación, controlar el uso compartido de la pantalla, desactivar chat privado o control de grabación, entre otras.
  •  En relación con la protección de los datos que compartimos, habla del cifrado mediante AES 256 del vídeo, audio y uso compartido de la pantalla, firmas de audio y capturas de pantalla con marcas de agua, cifrado también del almacenamiento local y en la nube de las grabaciones y transferencia de archivos.

Habla también de las diferentes certificaciones de seguridad y sobre la política de privacidad hablan de los diferentes métodos de autenticación utilizando aplicaciones ya existentes o mediante contraseña, también de la autenticación de doble factor, autorización del asistente para grabaciones, información técnica básica de los participantes de la reunión, almacenamiento de información básica del perfil…

Llama la atención los tres últimos párrafos, donde avisan expresamente de que:

  • Nunca han tenido intención de vender nuestra información a anunciantes y que no tienen intención de hacerlo.
  • No supervisan nuestras reuniones ni su contenido.
  • Cumplen con todas las políticas, reglas y normativas de privacidad en las jurisdicciones donde opera, entre las que incluyen el RGPD y la CCPA .

Esto guarda relación con el informe del CCN sobre el uso de Zoom y sus implicaciones para la seguridad y privacidad. Recomendaciones y buenas prácticas publicado con motivo de los ciberataques sufridos durante el confinamiento.

En sus conclusiones habla de que siguiendo la configuración y las salvaguardas adecuadas, Zoom ofrece un entorno de reunión virtual seguro y protegido, con independencia de que este software se encuentre actualmente en el objetivo de los ciberatacantes dada su popularidad.

Google Meet

Al igual que Microsoft, es la solución de videoconferencia integrada en G Suite con lo que conecta sin problemas con Gmail, Google Calendar, Docs, Drive, Jamboard o Cromecast entre otros.

En este enlace puedes ver la seguridad y privacidad que aplica a los usuarios como:

  • Medidas de seguridad para proteger las videollamadas como por ejemplo que los usuarios anónimos (sin cuenta de Google) no puedan unirse a la reunión, entre otras.
  • Cifrado de todos los datos de forma predeterminada, entre el cliente y Google tanto desde los navegadores como desde las aplicaciones Meet de Android o iOS.
  • Autenticación de doble factor (2FA).
  • Sobre la privacidad y transparencia hablan de que, como usuarios tenemos el control sobre nuestra información, y de que aplican las leyes de protección de datos y otros estándares del sector. También de que no utilizan nuestros datos con fines publicitarios, ni tampoco venden los datos a terceros, al igual que Zoom llama la atención estos mensajes «tranquilizadores» para los usuarios.
  • Prácticas recomendadas de seguridad para tener una reunión de confianza y crear una experiencia segura.

¿Qué aplicación debo elegir?

Como conclusión, debemos elegir aquella solución que más se ajuste a nuestras necesidades como empresa o profesional, siempre teniendo en cuenta la integración con las diferentes herramientas que utilicemos para el desarrollo de nuestro trabajo. Si esto lo consideramos prioritario deberemos elegir entre Microsoft y Google, si lo que vamos buscando es una aplicación exclusivamente de videollamada, priorizando la sencillez sin muchos requisitos, Zoom en la candidata.

En cuanto a la seguridad, como ya sabemos, ninguna solución es 100% segura, aunque la competencia ha provocado que todas hayan implantado medidas de seguridad que antes no tenían y que, sin duda, el objetivo es generar la confianza que necesitamos para trabajar compartiendo nuestra información garantizando la confidencialidad, integridad y disponibilidad de la misma.

En cualquier caso, siempre debemos revisar las opciones de seguridad de cada solución e implantar las que más nos convenga, lo recomendable es que esta configuración la realice el administrador IT o de ciberseguridad de la empresa.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *