Skype es uno de los servicios de chat de voz y video más antiguos y populares de Internet. En marzo de 2020, Microsoft reveló que Skype tenía 40 millones de usuarios activos diarios. Aunque han surgido muchos competidores, Skype sigue siendo popular en todo el mundo.
Entonces, ¿es seguro? ¿Es privado? ¿Qué deben tener en cuenta los usuarios de Skype cuando realizan llamadas y envían mensajes? Responderé a todas estas preguntas en este artículo. Cubriré principalmente las aplicaciones estándar de Skype y no Skype for Business.
Indice
Recopilación de datos de Microsoft
Microsoft adquirió Skype en 2011, por lo que Skype comparte una política de privacidad con todos los demás productos de consumo de Microsoft. Se requiere una cuenta de Microsoft para usar Skype. Desafortunadamente, eso hace que las prácticas de recopilación de datos de Skype sean muy opacas. Skype ni siquiera se menciona explícitamente en la declaración de privacidad de Microsoft, y esa declaración ni siquiera especifica qué información se recopila.
Dicho esto, podemos interpretar la declaración de privacidad para deducir algunos de los datos que Microsoft recopila sobre los usuarios de Skype.
Un perfil de Skype consta de:
- Foto de perfil
- Nombre de usuario
- Contraseña
- Dirección de correo electrónico
- Localización
- Fecha de nacimiento
- Lista de contactos
Si usas Skype para llamar a teléfonos, Microsoft también requerirá tu información de pago.
Microsoft también registra las interacciones del usuario, que pueden incluir:
- A quien llamas
- Hora y duración de las llamadas
- Historial de chat
- Archivos enviados y recibidos
- Números de teléfono llamados
- Estado de actividad
Microsoft dice que también obtiene datos sobre usuarios de terceros, que podrían incluir corredores de datos.
Microsoft usa datos personales para publicidad dirigida, personalización, investigación y desarrollo, y para mejorar sus productos. Tus datos se comparten con las filiales, subsidiarias y proveedores de Microsoft. También puede entregar tsus datos en respuesta a una solicitud legal.
Puedes administrar algunos, pero no todos, los datos que Microsoft tiene sobre ti utilizando tu panel de privacidad en línea.
Problemas de seguridad de Skype
A continuación, analizamos los principales problemas de seguridad a los que se enfrenta Skype.
Descubribilidad
Skype de forma predeterminada hace que los usuarios sean fáciles de encontrar a través de la función de búsqueda. Si no deseas aparecer en los resultados de búsqueda o en las recomendaciones, puedes desactivar esta opción en la configuración de tu perfil.
Configurar 2FA
Microsoft ofrece a todos los titulares de cuentas la opción de configurar la autenticación de dos factores. Recomiendo encarecidamente hacerlo, ya que es un gran elemento de disuasión para los posibles piratas informáticos.
La autenticación de dos factores, también llamada verificación de dos pasos, requiere que ingreses un código único enviado por correo electrónico, mensaje de texto o aplicación de autenticación, además de tu contraseña.
También puedes optar por iniciar sesión con una clave de seguridad, que generalmente viene en forma de un dispositivo USB que debe estar conectado al iniciar sesión en tu cuenta.
Grabacion de llamada
Los participantes en las llamadas de Skype a Skype pueden grabar sus llamadas y almacenarlas en los servidores de Microsoft hasta por 30 días. Esta es una característica incorporada. Durante ese tiempo, pueden descargar el video para usarlo como deseen. Todos los participantes recibirán una alerta si se está grabando una llamada. También se graba la pantalla compartida.
Cifrado
Skype no utiliza el cifrado de un extremo a otro de forma predeterminada. Eso significa que Microsoft puede ver todos los mensajes, llamadas y archivos.
Pero a partir de 2018, Skype ofrece cifrado de extremo a extremo si usas la función de «conversación privada». Para iniciar una conversación privada, selecciona «Nueva conversación privada» en el menú de redacción o en el perfil del destinatario. El destinatario recibirá una invitación y todas las llamadas y mensajes de esa conversación se cifrarán de un extremo a otro hasta que finalicen. Ten en cuenta que los usuarios solo pueden participar en una conversación privada por dispositivo a la vez. Puedes cambiar la conversación privada a otro dispositivo, pero solo se puede acceder a todo lo que se envíe y se reciba en el dispositivo que se esté utilizando actualmente.
De forma predeterminada, los archivos de voz, video, texto y archivos enviados entre usuarios de Skype están encriptados, pero solo entre tu dispositivo y los servidores de Microsoft. Esos datos se descifran una vez que llegan al servidor, lo que permite a Microsoft fisgonear si así lo desea. Dado el historial de Microsoft con la NSA, es mejor asumir que nada de lo que haces en Skype se mantiene privado.
Para cada llamada que realiza, su cliente de Skype crea una clave de cifrado AES de 256 bits única para esa sesión. Esta clave de sesión existe mientras la comunicación continúe y por un tiempo fijo después, según la empresa. Cuando realizas una llamada, Skype transmite la clave de sesión a la persona a la que estás llamando y esa clave de sesión se usa para cifrar los mensajes en ambas direcciones. Nuevamente, esto no es un cifrado de un extremo a otro.
Las llamadas realizadas entre Skype y teléfonos fijos o móviles normales no están encriptadas en absoluto. Los correos de voz están encriptados cuando los descargas, pero se almacenan como un archivo no encriptado en tu dispositivo.
URL de ping de Microsoft
En 2013, una investigación de Ars Technica descubrió que Skype “escanea regularmente el contenido de los mensajes en busca de signos de fraude, y los gerentes de la empresa pueden registrar los resultados de manera indefinida. Y esto solo puede suceder si Microsoft puede convertir los mensajes a un formato legible por humanos a voluntad «.
Parte de la investigación en la que un investigador de seguridad creó URL especialmente diseñadas que se enviaron a través del sistema de mensajería instantánea de Skype, contrarresta las afirmaciones de Skype hechas en 2007 de que no podía realizar escuchas telefónicas debido a un cifrado sólido y conexiones de red complejas de igual a igual.
Software malicioso
Skype es el objetivo de ciertos tipos de malware, además de ser un medio de distribución para otros tipos de malware. Aunque todas las vulnerabilidades de seguridad conocidas en Skype han sido parcheadas, cubriremos algunos incidentes pasados aquí:
En febrero de 2016, los investigadores de Palo Alto Networks revelaron que un malware llamado T9000 estaba dirigido específicamente a los usuarios de Skype. Una vez instalado, el software puede grabar llamadas de audio y video de Skype y cargarlas junto con los chats de texto a un servidor. Sin embargo, hay una salvedad. Incluso con el malware instalado, el usuario debe dar permiso explícito para acceder a Skype, aunque enmascara la solicitud para que el usuario no sepa que es malicioso. La víctima debe permitir explícitamente que el malware acceda a Skype para que funcione esta funcionalidad en particular. Sin embargo, dado que un proceso legítimo está solicitando acceso, el usuario puede permitir este acceso sin darse cuenta de lo que realmente está sucediendo. Una vez habilitado, el malware grabará videollamadas, llamadas de audio y mensajes de chat.
Mantener Skype y su sistema operativo actualizados es la mejor manera de prevenir el malware. El antivirus también es útil.
Spam y phishing
Skype es antiguo, lo que significa que hay muchas cuentas abandonadas. Si un ciberdelincuente logra secuestrar una de estas cuentas, puede usarla para difundir malware y enlaces de phishing a todos los que estén en la lista de contactos de la cuenta. Esto se ve agravado por los usuarios que no examinan a sus contactos y no aceptan solicitudes de extraños.
En 2019, el malware Rietspoof se propagó principalmente a través del spam de Skype. Este era un troyano diseñado para infectar sistemas para poder descargar malware más intrusivo y potente.
La empresa de seguridad F-Secure reveló en 2016 que los delincuentes se hacían pasar por funcionarios estadounidenses que ofrecían ayuda a los ciudadanos suizos a encontrar información sobre cómo solicitar visas para visitar Estados Unidos. Engañaron a las víctimas para que descargaran el malware QRAT.
Una regla simple evitará que sea víctima de spam y phishing en Skype: nunca hagas clic en enlaces o archivos adjuntos no solicitados, especialmente de contactos con los que no te has comunicado en un tiempo.
Skype expone direcciones IP
Los usuarios de Skype pueden averiguar las direcciones IP de las personas que llaman simplemente enumerando todas las conexiones TCP a tu dispositivo. Esto se puede hacer con un solo comando en el símbolo del sistema de Windows, por ejemplo.
Una dirección IP es una secuencia única de números y decimales que identifica un dispositivo y su ubicación.
Si bien una dirección IP en sí misma puede no ser muy valiosa, podría usarse junto con otra información personal en contra de alguien. Una solución a esto es usar una VPN para ocultar tu dirección IP real.
TOM Skype
En marzo de 2013, un estudiante de posgrado en ciencias de la computación de la Universidad de Nuevo México, reveló que la versión especial de Skype que los usuarios chinos están obligados a usar, conocida como TOM Skype, permitía al gobierno chino recopilar información sobre los usuarios incluyendo información sobre sus creencias políticas, además de censurar lo que pueden decirse unos a otros.
En mayo del mismo año, la prestigiosa publicación rusa «Vedomosti» informó que tanto la agencia de seguridad nacional como la policía pueden acceder a las conversaciones de Skype sin siquiera presentar una orden judicial.
Alternativas de Skype
Enumeraré algunas de las muchas aplicaciones de VoIP alternativas de Skype, de la más segura a la menos segura:
Signal
Si solo necesitas llamar a una persona, Signal es la opción más segura que existe. Es una aplicación de mensajería que prioriza la seguridad y la privacidad por encima de todo. Todas las llamadas y mensajes están encriptados de un extremo a otro, a menos que la otra parte esté usando mensajes de texto SMS o MMS normales. Sin embargo, solo admite llamadas entre dos usuarios.
Facetime
Facetime admite llamadas grupales de hasta 32 personas. Es una de las únicas aplicaciones de videoconferencia que ofrece cifrado de extremo a extremo en llamadas con más de dos personas. Sin embargo, necesitarás un iPhone o iPad más nuevo para usarlo. iMessage se utiliza para mensajes de texto. Apple no almacena ninguna información de identificación, excepto a quién se llamó y las configuraciones de red, que se almacenan durante 30 días.
Una aplicación de mensajería popular en todo el mundo, WhatsApp utiliza el protocolo de comunicación segura de Signal para cifrar las llamadas de voz y video de un extremo a otro entre los usuarios. No es tan resistente como Signal, pero es más conveniente. Los mensajes de texto se cifran de la misma manera. Hasta cuatro personas pueden unirse a una videollamada.
Google Duo
Esta aplicación está disponible para teléfonos inteligentes o en un navegador web. Cifra todas las llamadas de un extremo a otro para que Google no tenga acceso al contenido de la llamada. Sin embargo, Google recopila mucha otra información sobre los titulares de cuentas. Hasta 12 personas pueden unirse a una llamada.
GoToMeeting, Google Meet y Zoom
Estos servicios funcionan prácticamente de la misma manera y ofrecen una seguridad similar. Son útiles para videoconferencias con grupos más grandes de personas.
GoToMeeting está basado en la web, lo que significa que todo se lleva a cabo en su navegador web. Zoom requiere la instalación de una aplicación nativa. Hangouts Meet, la versión de Google, funciona de cualquier manera. Los códigos de invitación se envían a los participantes para que se unan a las llamadas. El anfitrión tiene mucho control sobre los privilegios y permisos de los asistentes. El cifrado TLS se utiliza en tránsito, pero las llamadas no se cifran de un extremo a otro entre los usuarios. GoToMeeting, Google y Zoom tienen acceso al contenido de la llamada cuando llega a sus servidores.