APLICACIONES DE VIDEOCONFERENCIA PARA TRABAJO A DISTANCIA
El trabajo a distancia ofrece muchas ventajas, pero no está libre de riesgos de seguridad, especialmente si se trata de compartir información entre los miembros de un grupo de trabajo o de asegurar la privacidad de la reunión. Dado que no existe un medio tecnológico libre de estas amenazas y riesgos, el presente documento en el que se entregan algunas sugerencias de que software utilizar y recomendaciones para que la información que se transmite, al realizar una teleconferencia, pueda desarrollarse de la manera más segura posible.
- Mejores prácticas aceptadas internacionalmente sobre comunicación institucional
Desde un punto de vista de marco normativo existen las normas ISO27002 que establecen controles generales para la seguridad de la información en las comunicaciones institucionales, tanto de las instalaciones primarias como para aquellas remotas y su paso por redes públicas. Complementariamente se suma la norma ISO27010, que introduce directrices sobre la gestión de seguridad de la información para las comunicaciones intersectoriales e inter-organizacionales. Más concretamente dicha norma aporta orientación sobre del funcionamiento interno de la empresa, seguridad y comunicación entre el propio sector, entre sectores y con los gobiernos. Con esto se consigue proteger la infraestructura crítica, reconocer las circunstancias normales para satisfacer los requisitos jurídicos, reglamentarios y otras obligaciones contractuales.
Sobre esta base normativa es que surgen criterios mínimos que deben considerarse para utilizar o seleccionar las herramientas de trabajo colaborativo o teleconferencias adecuadas a la seguridad de la información institucional. La herramienta que provea la teleconferencia debe, al menos, cumplir con los siguientes requerimientos de seguridad de la información:
- Encriptado de extremo a extremo, utilizando algoritmos de cifrado robustos (verificando que no se incluyan aquellos que ya se han descartado por haberse quebrado su seguridad). Al menos considerar AES-256 para las conferencias normales y algoritmos de rango superior para conferencias de nivel seguridad nacional.
- Encriptado de las contraseñas.
- Autenticación de los participantes, en lo posible con segundo factor de autenticación.
- En lo posible con servidores centrales que estén bajo control institucional. Si la solución utilizada se encuentra en la nube se deben tomar los resguardos para que
las comunicaciones, conversaciones y documentos que se intercambian queden, de ser requerido, almacenados de manera segura (encriptada).
- Soporte de cumplimiento e integración con otras soluciones de ciberseguridad como Data Loss Prevention (DLP) por ejemplo, e integración con otras herramientas organizacionales que permitan interoperar las funciones y plataformas de productividad y de uso institucional.
- Opciones de seguridad para los administradores de la plataforma.
- Las comunicaciones en lo posible deben ofrecer trazabilidad para efectos de auditorías posteriores en cuanto a su utilización.
- Establecer las consideraciones requeridas para verificar que la información
- transmitida NO es almacenada por el proveedor, sin el consentimiento o gestión del administrador del servicio, y que no se tiene acceso por parte del mismo, a la información personal de los participantes.
- Los aplicativos deben en un entorno rico en dispositivos de múltiples sistemas operativos, ofrecer capacidad multiplataforma para maximizar la flexibilidad de uso.
- Todo aplicativo eventualmente puede tener vulnerabilidades, ya sea por su codificación propia como por la plataforma sobre la cual se instala. Por tanto, un factor relevante a considerar es el soporte profesional con el que cuenta y el respaldo de sus desarrolladores para garantizar estabilidad, continuidad y seguridad mientras duren los contratos o expectativas de utilización de la herramienta.
- Cada herramienta debe entonces ser evaluada también por sus vulnerabilidades que pueden finalmente afectar o comprometer la seguridad de la teleconferencia, de la información personal e institucional de los participantes, y los activos institucionales.
- Con estos criterios generales e debe realizar un proceso de verificación que permita seleccionar la herramienta óptima en funcionalidad y en seguridad para tomar las bondades del trabajo a distancia sin comprometer la seguridad de la información institucional.
- Herramientas disponibles en el mercado, clasificadas según vulnerabilidades encontradas.
A continuación, se mencionan algunas herramientas conjuntamente con el detalle de las vulnerabilidades históricas encontradas y reportadas sobre la base de CVE:
- Hangouts, presenta vulnerabilidades asociadas al sistema operativo Android que es su soporte Esta versión es considerada para comunicaciones del tipo hogar. La versión empresarial de este proveedor se denomina “Google Hangout Meet”.
- Jitsi, presenta solo una vulnerabilidad CVE registrada en 20171
- ooVoo, presenta solo una vulnerabilidad CVE registrada en 20092
- Zoom Meeting, presenta 5 vulnerabilidades registradas como CVE que dé nos estar mitigadas en la versión utilizada pueden comprometer la seguridad de la información
- GoToMeeting, presenta solo una vulnerabilidad CVE registrada en 20144
- Microsof Skype, presenta 6 vulnerabilidades CVE en versiones anteriores o iguales a 2017
- Microsoft Team, no presenta vulnerabilidades CVE registradas a la Es un producto de rango empresarial para establecer teleconferencias y trabajo colaborativo
- Webex, presenta 9 vulnerabilidades CVE registradas para versiones anteriores o iguales a 20176
- A la fecha, no existen herramientas sin vulnerabilidades, en todos los softwares han existido y en todas ellas se han subsanados.
- No hay vigentes vulnerabilidades críticas que no hayan sido subsanadas.
- De existir nuevas vulnerabilidades, en las principales herramientas utilizadas, siempre hay empresas con rápidos tiempos de respuesta para subsanarlas y sacar nuevas versiones seguras.
- Herramientas más usadas disponibles en el mercado.
Como se explicó en puntos anteriores, dependiendo de los niveles de sensibilidad de la información a poner sobre la plataforma, el número de usuarios, los niveles de autenticación, facilidad de uso y herramientas de control para la administración segura de la misma con servidores locales o en la nube, podemos recomendar las siguientes herramientas:
1 https://www.cvedetails.com/vendor/16088/Jitsi.html
2 https://www.cvedetails.com/product/16551/Oovoo-Oovoo.html?vendor_id=9335
3 https://www.cvedetails.com/vulnerability-list/vendor_id-2159/Zoom.html
4https://www.cvedetails.com/product/26987/CitrixGotomeeting.html?vendor_id=422
5 https://www.cvedetails.com/product/35646/Microsoft-Skype.html?vendor_id=26
6 https://www.cvedetails.com/product/18500/Cisco-Webex.html?vendor_id=16
RECOMENDACIONES RESPECTO A LOS USUARIOS DE LOS SISTEMAS
- Actualizar el software: para mantener los más altos niveles de seguridad, es clave contar con la última versión disponible de la aplicación, así como realizar actualizaciones de forma habitual. Al hacerlo, no sólo se añaden nuevas opciones y funcionalidades, sino que también se instalan parches de seguridad frente a fallos de seguridad detectados. La oportunidad para que los cibercriminales ataquen no se limita al momento en el que se produce la vulnerabilidad, sino que permanece activa hasta que los usuarios ejecuten la actualización del software y reciban los parches de los productos de la empresa para hacer frente a las amenazas. Esto significa que los usuarios que no han actualizado el software siguen siendo vulnerables. Zoom ya anunció la publicación de una versión para el día 6 de abril del 2020.
- Utilizar un nombre de usuario y una contraseña: Las vulnerabilidades reportadas mostraban cómo un atacante podía adivinar números aleatorios asignados a las URL de una conferencia y penetrar en ellas sin alertar a los anfitriones. La brecha se produjo en conversaciones en las que no se establecieron contraseñas, lo que una vez más demuestra la importancia de utilizar este tipo de claves como primer nivel de seguridad. Tras resolver este fallo, Zoom adoptó nuevas medidas, utilizando passwords de forma automática en todas las reunionesprogramadas. La combinación de contraseña y mostrar el número de llamada es sinónimo de protección.
- Utilizar formas seguras de invitar a los participantes: esta aplicación ofrece distintas f ormas de invitar a nuevos asistentes, como copiar la URL de la llamada y compartirla con cualquier contacto. Sin embargo, esta opción no requiere de contraseña para entrar, por lo que ofrece pocas garantías. Por este motivo, se recomienda utilizar siempre el método seguro, que incluye el envío del identificador de llamadas y la contraseña de la llamada, así como conectarse a Zoom a través de SSO (Single Sign On) para un mayor nivel de seguridad.
- Gestionar el acceso de los participantes: Incluso si hemos decidido utilizar la opción de compartir enlaces menos seguros, podemos evitar que los participantes muestren contenidos inapropiados restringiendo el uso de la cámara por parte de los participantes. El administrador de la conversación puede decidir quién puede usar su cámara y su micrófono haciendo clic en «Administrar participantes». Asimismo, otra forma de controlar quién entra en la llamada es la opción “Waiting room” en la que un gestor de llamadas crea una ‘sala de espera’ a través de la cual los participantes pueden conectarse, pero sólo si el gestor de llamadas confirma a los participantes uno por uno o en grupo. Esto se puede hacer en el menú desplegable «advanced options» cuando se desea programar una llamada.
- Asumir que Zoom no ofrece privacidad absoluta: esta aplicación permite grabar llamadas de vídeo y exportarlas cuando termina la llamada. Es una herramienta muy útil cuando se quiere compartir información con otras personas que no pudieron asistir a la reunión. Sin embargo, esto también supone un problema, ya que cualquiera puede exportar la grabación, el archivo puede llegar a las manos equivocadas. Para reducir riesgos, el administrador de llamadas puede decidir qué participantes pueden grabar la llamada a través de la opción «Allow Record». Esto sólo protege frente al uso indebido de la aplicación, pero se puede utilizar algún software externo para grabar la conversación, por lo que no es posible garantizar al 100% la privacidad
- Tener actualizado el Computador y Antivirus: es necesario para este tipo de modalidades de trabajo, contar más que nunca con los computadores de oficinas y de los hogares actualizados con las versiones más recientes del Sistema Operativo que utiliza (Windows, Linux, Mac) como contar también con un antivirus y actualizado para asegurarse que, si existiesen nuevas fallas en los softwares de teleconferencia, estás puedan también ser bloqueadas por el computador o por el antivirus.
- Tener cuidado de quien envía la invitación: Hay un aumento considerable de inscripción de dominios de internet asociados a la herramienta “Zoom” como a las otras más populares vigentes, se estima que muchos de esos dominios son para realizar estafas, suplantación de identidad y usurpación de datos personales o sensibles a través de envíos de phishing de posibles falsas reuniones por teleconferencia. Tal como lo muestra el siguiente cuadro obtenido por la empresa “Checkpoint”. Es fundamental revisar hoy más que nunca quien envía las invitaciones y no caer en estos intentos de phishing.
- En caso de dudas contar siempre con soporte informático: Frente a los innumerables emails que puedan recibir, actualizaciones de software o uso de este tipo de herramientas, cuente siempre con el apoyo de las unidades de soporte informático de cada organización para subsanar dudas o capacitarse en el uso de estas herramientas.
- Otras recomendaciones para un evento seguro que permiten las opciones avanzadas son:
- No entregar el control de la pantalla compartida. Restringir que los participantes tomen control de la pantalla en un evento evitará que se comparta contenidos no deseado con el resto de los participantes.
- Utilizar la versión pagada para garantizar soporte y responsabilidad de la empresa.
- No grabar las reuniones, se pierde la encriptación de la comunicación de extremo a extremo.
- Permitir solo participantes registrados. La inscripción de los participantes permite tener un control de los asistentes.
- Colocar un doble factor de autenticación para el evento.
- Remover a personas del evento si causan algún tipo de incidente.
- Deshabilitar la opción de “unirse antes del anfitrión” para no perder el control de los asistentes de la reunión
- Impedir la opción “permitir que los participantes eliminados se vuelvan a unir” para que la gente que ha sido expulsada del chat no pueda volver a ingresar
- Impedir la transmisión de archivos en el evento.
- Cerrar el evento una vez que se ha iniciado, para que no ingresen nuevos participantes, incluso si la persona tiene un ID de participación.
- No hacer reuniones públicas a través de la herramienta, sino sólo reuniones privadas, evitando con esto el “zoombombing”.
Fuente: CSIRT- Equipo de Respuesta ante Incidentes de la Seguridad Informática