latest posts

General

APLICACIONES DE VIDEOCONFERENCIA PARA TRABAJO A DISTANCIA

El trabajo a distancia ofrece muchas ventajas, pero no está libre de riesgos de seguridad, especialmente  si  se  trata  de  compartir  información  entre  los  miembros de  un  grupo  de trabajo o de asegurar la privacidad de la reunión. Dado que no existe un medio tecnológico libre de estas amenazas y riesgos, el presente documento en el que se entregan algunas sugerencias de que software utilizar y recomendaciones para que la información que se transmite, al realizar una teleconferencia, pueda desarrollarse de la manera más segura posible.

 

  1. Mejores prácticas  aceptadas  internacionalmente  sobre  comunicación institucional

Desde un punto de vista de marco normativo existen las normas ISO27002 que establecen controles   generales   para   la   seguridad   de   la   información   en   las   comunicaciones institucionales, tanto de las instalaciones primarias como para aquellas remotas y su paso por  redes  públicas.  Complementariamente  se  suma  la  norma  ISO27010,  que  introduce directrices  sobre  la  gestión  de  seguridad  de  la  información  para  las  comunicaciones intersectoriales   e   inter-organizacionales.   Más   concretamente   dicha   norma   aporta orientación  sobre  del  funcionamiento  interno  de  la  empresa,  seguridad  y  comunicación entre el propio sector, entre sectores y con los gobiernos. Con esto se consigue proteger la infraestructura crítica, reconocer las circunstancias normales para satisfacer los requisitos jurídicos, reglamentarios y otras obligaciones contractuales.

 

Sobre esta base normativa es que surgen criterios mínimos que deben considerarse para utilizar o seleccionar las herramientas de trabajo colaborativo o teleconferencias adecuadas a la seguridad de la información institucional. La herramienta que provea la teleconferencia debe, al menos, cumplir con los siguientes requerimientos de seguridad de la información:

  • Encriptado de  extremo  a  extremo,  utilizando  algoritmos  de  cifrado  robustos (verificando  que  no  se  incluyan  aquellos que  ya  se  han  descartado  por haberse quebrado  su  seguridad).  Al  menos  considerar  AES-256  para  las  conferencias normales  y  algoritmos  de  rango  superior  para  conferencias  de  nivel  seguridad nacional.
  • Encriptado de las contraseñas.
  • Autenticación de   los   participantes,   en   lo   posible   con   segundo   factor   de autenticación.
  • En lo  posible  con  servidores  centrales  que  estén  bajo  control  institucional.  Si  la solución utilizada se encuentra en la nube se deben tomar los resguardos para que

 

las comunicaciones, conversaciones y documentos que se intercambian queden, de ser requerido, almacenados de manera segura (encriptada).

  • Soporte de cumplimiento e integración con otras soluciones de ciberseguridad como Data Loss  Prevention  (DLP)  por  ejemplo,  e  integración  con  otras  herramientas organizacionales   que   permitan   interoperar   las   funciones   y   plataformas   de productividad y de uso institucional.
  • Opciones de seguridad para los administradores de la plataforma.
  • Las comunicaciones en lo posible deben ofrecer trazabilidad para efectos de auditorías posteriores en cuanto a su utilización.
  • Establecer las consideraciones requeridas para verificar que la información
  • transmitida NO es almacenada por el proveedor, sin el consentimiento o gestión del administrador del  servicio,  y  que  no  se  tiene  acceso  por  parte  del  mismo,  a  la información personal de los participantes.
  • Los aplicativos  deben  en  un  entorno  rico  en  dispositivos  de  múltiples  sistemas operativos, ofrecer capacidad multiplataforma para maximizar la flexibilidad de uso.
  • Todo aplicativo eventualmente puede tener vulnerabilidades, ya sea por su codificación propia como por la plataforma sobre la cual se instala. Por tanto, un factor  relevante  a  considerar  es  el  soporte  profesional  con  el  que  cuenta  y  el respaldo de sus desarrolladores para garantizar estabilidad, continuidad y seguridad mientras duren los contratos o expectativas de utilización de la herramienta.
  • Cada herramienta debe entonces ser evaluada también por sus vulnerabilidades que pueden finalmente afectar o comprometer la seguridad de la teleconferencia, de  la  información  personal  e  institucional  de  los  participantes,  y  los  activos institucionales.
  • Con estos criterios generales e debe realizar un proceso de verificación que permita seleccionar la herramienta óptima en funcionalidad y en seguridad para tomar las bondades del trabajo a distancia sin comprometer la seguridad de la información institucional.

 

  1. Herramientas   disponibles    en    el    mercado,    clasificadas    según vulnerabilidades encontradas.

A continuación, se mencionan algunas herramientas conjuntamente con el detalle de las vulnerabilidades históricas encontradas y reportadas sobre la base de CVE:

 

  1. Hangouts, presenta vulnerabilidades asociadas al sistema operativo Android que es su soporte Esta  versión  es  considerada  para  comunicaciones  del  tipo  hogar.  La versión empresarial de este proveedor se denomina “Google Hangout Meet”.
  2. Jitsi, presenta solo una vulnerabilidad CVE registrada en 20171
  3. ooVoo, presenta solo una vulnerabilidad CVE registrada en 20092
  4. Zoom Meeting, presenta 5 vulnerabilidades registradas como CVE que dé nos estar mitigadas en la versión utilizada pueden comprometer la seguridad de la información
  5. GoToMeeting, presenta solo una vulnerabilidad CVE registrada en 20144
  6. Microsof Skype, presenta 6 vulnerabilidades CVE en versiones anteriores o iguales a 2017
  7. Microsoft Team,  no  presenta  vulnerabilidades  CVE  registradas  a  la    Es  un producto de rango empresarial para establecer teleconferencias y trabajo colaborativo
  8. Webex, presenta 9 vulnerabilidades CVE registradas para versiones anteriores o iguales a 20176

 

  • A la fecha, no existen herramientas sin vulnerabilidades, en todos los softwares han existido y en todas ellas se han subsanados.
  • No hay vigentes vulnerabilidades críticas que no hayan sido subsanadas.
  • De existir nuevas vulnerabilidades, en las principales herramientas utilizadas, siempre hay empresas con rápidos tiempos de respuesta para subsanarlas y sacar nuevas versiones seguras.

 

  1. Herramientas más usadas disponibles en el mercado.

Como se explicó en puntos anteriores, dependiendo de los niveles de sensibilidad de la información a poner sobre la plataforma, el número de usuarios, los niveles de autenticación,  facilidad  de  uso  y  herramientas  de  control  para  la  administración segura de la misma con servidores locales o en la nube, podemos recomendar las siguientes herramientas:

1 https://www.cvedetails.com/vendor/16088/Jitsi.html

2 https://www.cvedetails.com/product/16551/Oovoo-Oovoo.html?vendor_id=9335

3 https://www.cvedetails.com/vulnerability-list/vendor_id-2159/Zoom.html

4https://www.cvedetails.com/product/26987/CitrixGotomeeting.html?vendor_id=422

5 https://www.cvedetails.com/product/35646/Microsoft-Skype.html?vendor_id=26

6 https://www.cvedetails.com/product/18500/Cisco-Webex.html?vendor_id=16

 

RECOMENDACIONES RESPECTO A LOS USUARIOS DE LOS SISTEMAS

  1. Actualizar el software: para mantener los más altos niveles de seguridad, es clave contar con  la  última  versión  disponible  de  la  aplicación,  así  como  realizar actualizaciones de forma habitual. Al hacerlo, no sólo se añaden nuevas opciones y funcionalidades, sino que también se instalan parches de seguridad frente a fallos de seguridad detectados. La oportunidad para que los cibercriminales ataquen no se limita al momento en el que se produce la vulnerabilidad, sino que permanece activa hasta que los usuarios ejecuten la actualización del software y reciban los parches de los productos de la empresa para hacer frente a las amenazas. Esto significa  que  los  usuarios  que  no  han  actualizado  el  software  siguen  siendo vulnerables. Zoom ya anunció la publicación de una versión para el día 6 de abril del 2020.

 

  1. Utilizar un  nombre  de  usuario  y  una  contraseña:  Las  vulnerabilidades reportadas   mostraban   cómo   un   atacante   podía   adivinar   números  aleatorios asignados  a  las  URL  de  una  conferencia  y  penetrar  en  ellas  sin  alertar  a  los anfitriones. La brecha se produjo en conversaciones en las que no se establecieron contraseñas, lo que una vez más demuestra la importancia de utilizar este tipo de claves  como  primer  nivel  de  seguridad.  Tras  resolver  este  fallo,  Zoom  adoptó nuevas medidas, utilizando passwords de forma automática en todas las reunionesprogramadas. La combinación de contraseña y mostrar el número de llamada es sinónimo de protección.

 

  1. Utilizar formas seguras de invitar a los participantes: esta aplicación ofrece distintas f ormas de invitar a nuevos asistentes, como copiar la URL de la llamada y compartirla con cualquier  contacto.  Sin  embargo,  esta  opción  no  requiere  de contraseña  para  entrar,  por  lo  que  ofrece  pocas  garantías.  Por  este  motivo,  se recomienda utilizar siempre el método seguro, que incluye el envío del identificador de llamadas y la contraseña de la llamada, así como conectarse a Zoom a través de SSO (Single Sign On) para un mayor nivel de seguridad.

 

  1. Gestionar el acceso  de  los  participantes: Incluso  si  hemos  decidido  utilizar  la opción de compartir enlaces menos seguros, podemos evitar que los participantes muestren contenidos inapropiados restringiendo el uso de la cámara por parte de los participantes. El administrador de la conversación puede decidir quién puede usar  su  cámara  y  su  micrófono  haciendo  clic  en  «Administrar  participantes». Asimismo, otra forma de controlar quién entra en la llamada es la opción “Waiting room” en la que un gestor de llamadas crea una ‘sala de espera’ a través de la cual los participantes pueden conectarse, pero sólo si el gestor de llamadas confirma a los  participantes  uno  por  uno  o  en  grupo.  Esto  se  puede  hacer  en  el  menú desplegable «advanced options» cuando se desea programar una llamada.

 

  1. Asumir que  Zoom  no  ofrece  privacidad  absoluta:  esta  aplicación  permite grabar  llamadas  de  vídeo  y  exportarlas  cuando  termina  la  llamada.  Es  una herramienta muy útil cuando se quiere compartir información con otras personas que  no  pudieron  asistir  a  la  reunión.  Sin  embargo,  esto  también  supone  un problema, ya que cualquiera puede exportar la grabación, el archivo puede llegar a las manos equivocadas. Para reducir riesgos, el administrador de llamadas puede decidir  qué  participantes  pueden  grabar  la  llamada  a  través  de la opción  «Allow Record». Esto sólo protege frente al uso indebido de la aplicación, pero se puede utilizar algún software externo para grabar la conversación, por lo que no es posible garantizar al 100% la privacidad

 

  1. Tener actualizado el Computador y Antivirus: es necesario para este tipo de modalidades de trabajo, contar más que nunca con los computadores de oficinas y de los hogares actualizados con las versiones más recientes del Sistema Operativo que utiliza (Windows,  Linux,  Mac)  como  contar  también  con  un  antivirus  y actualizado para asegurarse que, si existiesen nuevas fallas en los softwares de teleconferencia, estás puedan también ser bloqueadas por el computador o por el antivirus.

 

  1. Tener cuidado de quien envía la invitación: Hay un aumento considerable de inscripción de dominios de internet asociados a la herramienta “Zoom” como a las otras más populares vigentes, se estima que muchos de esos dominios son para realizar estafas, suplantación  de  identidad  y  usurpación  de  datos  personales  o sensibles  a  través  de  envíos  de  phishing  de  posibles  falsas  reuniones  por teleconferencia. Tal como lo muestra el siguiente cuadro obtenido por la empresa “Checkpoint”.  Es   fundamental   revisar   hoy   más   que   nunca   quien   envía   las invitaciones y no caer en estos intentos de phishing.

 

  1. En caso  de  dudas  contar  siempre  con  soporte  informático:  Frente  a  los innumerables emails que puedan recibir, actualizaciones de software o uso de este tipo  de  herramientas,  cuente  siempre  con  el  apoyo  de  las  unidades  de  soporte informático de cada organización para subsanar dudas o capacitarse en el uso de estas herramientas.

 

  1. Otras recomendaciones para un evento seguro que permiten las opciones avanzadas son:
  • No entregar   el   control   de   la   pantalla   compartida.   Restringir   que   los participantes  tomen  control  de  la  pantalla  en  un  evento  evitará  que  se comparta contenidos no deseado con el resto de los participantes.
  • Utilizar la  versión  pagada  para  garantizar  soporte  y  responsabilidad  de  la empresa.
  • No grabar  las  reuniones, se  pierde la  encriptación  de  la  comunicación  de extremo a extremo.
  • Permitir solo  participantes  registrados.  La  inscripción  de  los  participantes permite tener un control de los asistentes.
  • Colocar un doble factor de autenticación para el evento.
  • Remover a personas del evento si causan algún tipo de incidente.
  • Deshabilitar la opción de “unirse antes del anfitrión” para no perder el control de los asistentes de la reunión
  • Impedir la opción “permitir que los participantes eliminados se vuelvan a unir” para que la gente que ha sido expulsada del chat no pueda volver a ingresar
  • Impedir la transmisión de archivos en el evento.
  • Cerrar el evento una vez que se ha iniciado, para que no ingresen nuevos participantes, incluso si la persona tiene un ID de participación.
  • No hacer reuniones públicas a través de la herramienta, sino sólo reuniones privadas, evitando con esto el “zoombombing”.

 

Fuente: CSIRT- Equipo de Respuesta ante Incidentes de la Seguridad Informática