Recomendaciones de ciberseguridad en el uso de servicios de videollamadas

El bloqueo producido por el COVID-19 significa que muchos de nosotros estamos usando videollamadas para estar en contacto con familiares, amigos y compañeros de trabajo. Si eres nuevo en las videoconferencias, esta guía te ayudará a utilizar estos servicios de manera segura.

Igualmente, las empresas están utilizando el teletrabajo y sus empleados están trabajando en sus casas.

Con más personal trabajando ahora de forma remota, la videoconferencia tiene un papel obvio que desempeñar. Esta guía ayuda a las empresas a seleccionar, configurar e implementar de forma segura los servicios de videollamadas.

Vamos a analizar los requisitos de ciberseguridad para videollamadas personales y para las videollamadas de trabajo.

¿Qué es la videollamada?

La videollamada es una conversación de audio y vídeo en vivo entre 2 o más personas en diferentes ubicaciones, que se lleva a cabo usando un teléfono, tableta, ordenador portátil o de escritorio. Algunos servicios de videoconferencia también permiten compartir archivos, imágenes o las pantallas de los demás.

Muchos dispositivos tienen funcionalidades de videoconferencia incorporadas (como FaceTime de Apple y Duo de Google), y muchas aplicaciones populares también brindan este servicio (como Instagram, WhatsApp y Facebook). También hay aplicaciones de videoconferencia independientes que puedes descargar. Las más populares son Zoom, Skype, Houseparty y Microsoft Teams.

Independientemente del tipo de servicio que utilices, esta guía se aplica a todos los servicios de videoconferencia. Para obtener más información sobre las características de seguridad de un servicio específico, consulte el sitio de soporte oficial de los proveedores de servicios.

Descargar software de videollamadas

Si vas a descargar un software de videollamadas independiente, asegúrate de que:

  • Lo descargas de fuentes confiables. Esto significa usar la tienda de aplicaciones de tu teléfono o tableta (como la App Store de Apple o Google Play), o descargar el software del sitio web oficial del proveedor de servicios. Ten cuidado de seguir los enlaces anunciados en la parte superior de las páginas de resultados de búsqueda (generalmente incluirán la palabra ‘Anuncio’ al comienzo de la dirección o la descripción del sitio web) y los anuncios de software de videoconferencia dentro de los sitios web. Estos pueden contener enlaces a sitios que no siempre son legítimos y pueden usarse para estafar a las personas. También debes tratar con precaución los enlaces no solicitados que recibas que se refieran al software de videoconferencia.
  • Consulta en línea para comprender qué aplicación es adecuada para ti En la mayoría de los casos, la versión ‘gratuita’ de un servicio de videollamadas proporcionará funcionalidad y seguridad suficientemente buenas para uso personal, siempre que la hayas configurado correctamente. Las versiones premium del mismo producto pueden ofrecer características adicionales y facilidad de uso. Deberías considerar pagar por estas versiones si crees que te beneficiarás de funciones adicionales. Con tantos productos disponibles, es posible que desees realizar tu propia investigación de antemano, utilizando sitios web de tecnología u otras fuentes confiables, para averiguar cuál es el adecuado para ti.
  • Verifica la configuración de privacidad. Debes asegurarte de comprender a qué datos (si los hay) accederá el servicio durante la operación. Es posible que tengas la opción de optar por no compartir datos.

Configurar servicios de videoconferencia

Antes de hacer tu primera llamada, debes:

  • Asegurarte de que tu cuenta de videoconferencia (o el dispositivo o aplicación que estás utilizando para videoconferencia) esté protegida con una contraseña segura. Si necesitas instalar la aplicación de videocllamadas, deberás crear una cuenta para ello. Asegúrate de que la contraseña que usas sea diferente a todas sus otras contraseñas y que sea difícil de adivinar para alguien. También debes configurar la autenticación de dos factores (2FA) para la cuenta, ya que esto proporciona una capa adicional de protección y puede evitar que los delincuentes accedan a tus cuentas (incluso si conocen tu contraseña).
  • Prueba el servicio antes de hacer (o unirte) a tu primera llamada. La mayoría de los servicios tienen una función de ‘prueba’ para garantizar que su micrófono y cámara funcionen correctamente, y que su conexión a Internet sea lo suficientemente rápida. También puedes usar la función de prueba para aprender cómo funciona el servicio. Como mínimo, asegúrate de saber cómo silenciar el micrófono y apagar la cámara. Esto te dará más control sobre lo que compartes con los demás.
  • Conoce qué funciones están disponibles. Muchos servicios te permiten grabar la llamada, compartir archivos o mostrar lo que está en la pantalla de alguien. Descubre cómo saber si se está grabando la llamada, qué se graba exactamente (audio, imágenes, mensajes) y quién puede acceder a las grabaciones. También puede haber controles adicionales para administrar quién puede unirse a la llamada.

Hospedar y unir llamadas

Es importante que puedas controlar quién puede unirse a tu videollamada. Para obtener instrucciones específicas, consulta el sitio web de soporte del servicio que estás utilizando. Sin embargo, se aplican las siguientes reglas generales:

  • No hagas públicas las llamadas. Conéctate directamente con las personas a las que deseas llamar utilizando tus contactos, o proporciona enlaces privados a los contactos individuales. Para algunos servicios de videoconferencia, puedes configurar la llamada para que se requiera una contraseña para unirse. Esto agrega otra capa de protección. No publiques el enlace.
  • Sé consciente de quién se une a tu llamada. Si estás organizando la llamada para tu familia o amigos, considera usar la función de sala de espera para asegurarte de saber quién ha llegado. Esto es especialmente útil si las personas se unen a la llamada a través de un número de teléfono no reconocido. Asegúrate de que las personas sean quienes dicen ser antes de unirse a la llamada.
  • Considera tu entorno. Tómate un momento para pensar en lo que muestra tu cámara cuando estás en una llamada. ¿Te gustaría compartir esa información con extraños? Considera difuminar o cambiar su fondo: encontrarás instrucciones sobre cómo hacerlo en el sitio web de soporte para tu servicio de videoconferencia.

Finalmente, asegúrate de que todos tus dispositivos y aplicaciones (no solo el software de videoconferencia) estén actualizados. Aplicar actualizaciones de software es una de las cosas más importantes que puedes hacer para protegerste en línea. Actualiza todas las aplicaciones (y el sistema operativo de tu dispositivo) cuando te lo solicite. Agregará nuevas funciones e inmediatamente mejorará tu seguridad.

Videollamadas de trabajo

En caso de realizar teletrabajo y usar videollamadas para contactar con tus empleados o clientes, estas son las recomendaciones que debes seguir para garantizar su seguridad.

Elige un servicio de videollamadas

Al elegir un servicio, querrás asegurarte de que las videollamadas y cualquier otro dato (como mensajes, archivos compartidos, transcripciones de voz y cualquier grabación) estén protegidos.

El primer paso es averiguar si en tu sofware de empresa tienes incluido un servicio de videoconferencia. Si has realizado una evaluación de diligencia debida o de riesgo de seguridad de los servicios de videoconferencia, debes volver a examinarlos.

El uso de servicios de videoconferencia existentes tiene los siguientes beneficios:

  • el personal estará familiarizado con la administración y el uso del servicio, lo que reducirá los costes de capacitación e implementación
  • usarás tu proveedor de autenticación existente (bien configurado)
  • integración simple con las capacidades existentes de auditoría y monitorización
  • puedes mantener el cumplimiento de la legislación de manejo de datos.

Si estás considerando un nuevo servicio, debes realizar una evaluación de riesgos de seguridad en una lista breve de proveedores. Para ello puedes solicitar copias de cualquier evaluación o auditoría independiente.

Los resultados de esta evaluación, combinados con los términos y condiciones del proveedor (y la declaración de privacidad), te permitirán comprender:

  • cómo el proveedor implementa controles de seguridad básicos
  • dónde se guardan los datos
  • qué pueden hacer con ellos

Si necesitas videoconferencias para reuniones más confidenciales, debes tener en cuenta los principios de seguridad en la nube para determinar si un servicio cumple con tus necesidades de seguridad. Este enfoque es recomendable para uso gubernamental, sectores industriales regulados y organizaciones que manejan datos personales.

Los principios cubren un mayor nivel de detalle para ayudarte a comprender cómo el proveedor construye y administra el servicio. Algunos proveedores de la nube publican una respuesta a los principios para que puedas comprender exactamente cómo su servicio cumple con los objetivos de seguridad.

Consideraciones adicionales

Muchos servicios de videoconferencia incluyen opciones de pago que proporcionan características adicionales o niveles de servicio. Esto puede incluir características mejoradas de seguridad, configuración y privacidad.

Algunos servicios implementan un cifrado de extremo a extremo para que todos los datos se cifren en tránsito y solo los participantes de la reunión puedan descifrarlos.

Otros servicios encriptan específicamente los datos entre los dispositivos de los usuarios y el servicio, lo que les permite proporcionar una funcionalidad más rica que solo se puede implementar en el lado del servidor.

Independientemente del modelo que implemente el proveedor elegido, debes poder confiar en que lo hayan diseñado e implementado bien, y que las aplicaciones y el servicio realmente funcionen de la manera que describen.

Los servicios en la nube a menudo almacenan y procesan datos en centros de datos en varios países y jurisdicciones. Debes estar seguro de saber dónde están tus datos, quién puede acceder a ellos y en qué circunstancias.

Implementar y configurar el servicio

Debes intentar establecer valores predeterminados y controles para toda la empresa siempre que sea posible. Puedes hacerlo utilizando el servicio en sí o configurando los ajustes en las aplicaciones entregadas a tus dispositivos administrados.

Piensa detenidamente qué configuraciones aplicar y cuáles establecer como predeterminadas que luego se pueden anular por reunión.

La configuración predeterminada debe configurarse de tal manera que equilibre las necesidades del usuario con la seguridad. Por ejemplo, la capacidad de compartir pantallas puede ser apropiada para algunos públicos, pero no para otros.

Configurar cuentas de usuario

Tu personal deberá iniciar sesión en el servicio para poder programar reuniones. Algunos servicios de videoconferencia también permiten o requieren que los usuarios se autentiquen para unirse a las reuniones.

Recomendamos implementar el inicio de sesión único siempre que sea posible, integrando el servicio de videoconferencia con la identidad corporativa existente. Esto significa que el servicio heredará las mismas protecciones de identidad que sus otros servicios corporativos. Mejorará significativamente la experiencia del usuario al reducir la cantidad de veces que se requiere autenticación.

Si no puedes implementar el inicio de sesión único, debes asegurarte de configurar el servicio para garantizar la protección de las contraseñas e incluir la autenticación multifactor (también conocida como autenticación de dos factores o 2FA).

Algunos de los usuarios necesitarán cuentas más privilegiadas, por lo que pueden configurar el servicio o acceder a registros, transcripciones o grabaciones.

Es aconsejable aplicar el concepto de privilegio mínimo utilizando un control de acceso basado en roles.

Configurar el acceso a reuniones y conferencias

Ser capaz de controlar quién puede unirse (o iniciar) reuniones ayudará a proteger la confidencialidad de las discusiones y evitará interrupciones no deseadas. Los participantes generalmente se unen a reuniones organizadas de antemano haciendo clic en un enlace o ingresando un código único.

Recomendamos que:

  • los usuarios de tu empresa (y los invitados que fueron invitados específicamente a la reunión) puedan acceder directamente a una reunión
  • a los usuarios no autenticados se les debe solicitar que ingresen un código de acceso
  • los usuarios no autenticados deben permanecer en una sala de espera, y solo ser admitidos en la reunión una vez que un participante de confianza haya verificado su identidad

Algunos servicios de videoconferencia permiten a sus usuarios hacer una llamada a los usuarios dentro y fuera de la empresa sin tener que organizarla con anticipación. Si esta función está disponible, bloquea las llamadas que se originan fuera de tu organización si no están en la lista de contactos de un usuario. Si no bloqueas dichas llamadas, recomendamos que el servicio esté configurado para bloquear llamadas de usuarios no identificados o no autenticados.

Configurar funciones disponibles durante las reuniones

Los servicios de videoconferencia a menudo incluyen funciones adicionales como:

  • compartición de archivos
  • compartir pantalla
  • chat de mensajería instantánea
  • generación automática de transcripción de llamadas
  • control remoto del dispositivo de otro participante

Si tus empleados necesitan estas funciones, deberás decidir si confías lo suficiente en el servicio como para proteger los datos adicionales que serán enviados, y si estas funciones deben estar habilitadas de forma predeterminada (o ser un ‘opt-in’ ‘para cada reunión).

Muchos servicios permiten grabar llamadas y guardar chats de texto y archivos compartidos. Asegúrate de saber dónde se almacenan estos datos y quién puede acceder a ellos.

Configurar aplicaciones y software de videoconferencia

Las empresas deben decidir si implementan aplicaciones en sus dispositivos y qué tipo de aplicaciones.

El servicio de videollamadas debe configurarse de forma consistente en todas las plataformas que vayan a utilizarse, ya sea una aplicación instalada, un navegador web o ‘unirse solo a audio’ a través de una llamada telefónica. Tu personal debe acceder al servicio utilizando dispositivos que se hayan configurado adecuadamente.

Es posible que puedas configurar aplicaciones a nivel organizacional para restringir el acceso de la aplicación a listas de contactos, datos de ubicación, documentos y fotos. Si la aplicación puede acceder a estos datos, asegúrate de comprender qué datos se comparten con el servicio, de que estás de acuerdo con esto y de que está protegido adecuadamente.

Adicionalmente:

  • Busca utilizar aplicaciones que puedan instalarse desde la tienda de aplicaciones de un dispositivo o distribuirse mediante herramientas de administración empresarial.
  • Desactiva las opciones que permitan a los usuarios descargar una aplicación al unirse a una llamada, ya que prodrían utilizarse así aplicaciones arbitrarias desde Internet (y, por lo tanto, hace que tu organización sea más susceptible al phishing).
  • Si usas una VPN siempre activa en los dispositivos corporativos, establece una excepción para tu servicio de videoconferencia confiable para mejorar el rendimiento. Un servicio que utiliza un cifrado bien configurado y aplica la autenticación mutua puede ofrecerte tanta confianza en Internet como un túnel VPN bien configurado.
  • Ten especial cuidado si accedes al servicio de videoconferencia utilizando dispositivos dedicados, como equipos de sala de videoconferencia. Estos pueden tener diferentes procesos de soporte / parcheo y requieren una configuración diferente a las aplicaciones disponibles para teléfonos inteligentes, tabletas y ordenadores.

Otras organizaciones con las que trabajas pueden usar un servicio de videoconferencia diferente al tuyo. Debes asegurarte de que se pueda acceder a esos servicios a través del navegador web en los dispositivos de tus usuarios.

Recomendamos evitar la instalación de aplicaciones adicionales para esos servicios para reducir la sobrecarga de configuración y mantenimiento asociada, y minimizar la necesidad de analizar el impacto de seguridad de la instalación de esas aplicaciones.

Ayudar al personal a utilizar los servicios de forma segura

El trabajador que esté trabajando en casa por primera vez es posible que no haya utilizado los servicios de videoconferencia. Por eso debes ofrecerle una guía clara que explique cómo usarlos de manera segura y comprueba que el servicio funciona como se describe.

Para el personal que asiste a las reuniones

Pide a tus empleados que prueben que el servicio de videoconferencia está funcionando antes de usarlo para reuniones reales; algunos servicios incluyen una función de ‘prueba’ que puede ayudar con esto.

Deben estar familiarizados con cómo silenciar el micrófono y apagar la cámara. Esto les dará más control sobre lo que comparten con los demás.

Sugerimos decirle al personal:

  • los detalles que explican cómo unirse a la reunión como si fuera tan sensible como la reunión misma
  • cómo difuminar su fondo o usar una imagen de fondo (si esta es una característica disponible). Esto puede agregar un grado de privacidad personal cuando se trabaja desde un entorno hogareño
  • cómo saber cuando su cámara está activa, para que puedan estar seguros de que se desactiva cuando no se usa
  • cómo indica el servicio cuándo se está grabando la reunión o llamada

Muchas cámaras web tienen una luz que se enciende cuando está en uso. En algunos entornos, es posible que prefieras un dispositivo donde el usuario pueda deslizar un obturador físico a través de la lente o desconectar la cámara cuando no esté en uso.

Para el personal que organiza reuniones

Los organizadores de la reunión (y a veces sus delegados) tendrán controles además de los disponibles para otros asistentes. Debes solicitar a los usuarios que organizan reuniones con participantes de fuera de su organización que realicen una reunión de prueba para familiarizarse con los controles, como aprobar a los participantes en la sala de espera, eliminar a los participantes de la llamada y silenciar a las personas.

Al configurar la llamada, quien organiza la reunión debe tener en cuenta qué características (como el uso compartido de pantalla y el uso compartido de archivos) son apropiadas para la reunión, y si deben limitarse a una parte de los participantes.

Si las reuniones están protegidas con contraseña, el organizador de la reunión solo debe compartir esa contraseña con los participantes.

Por ejemplo, podrían enviar un correo electrónico que contenga la contraseña directamente a los participantes únicamente, en lugar de incluirla dentro de una cita del calendario (que podría ser visible para todos en la organización).

Durante la videoconferencia, recomendamos que los organizadores de la reunión se hagan responsables de:

  • verificar la identidad de todos los participantes en la llamada
  • Aprobar apropiadamente a los participantes retenidos en la sala de espera
  • eliminar participantes que no han sido identificados con éxito.

Con el aumento del uso de las videollamadas hemos visto como aumentan también los ciberataques utilizando este medio para hackear el servicio y acceder a datos personales. Por eso es importante tener en cuenta estas medidas de seguridad al realizar videollamadas.

Comparativa de ciberseguridad en las principales apps de videollamadas

Hace solo unos meses, Zoom, Microsoft Teams, GoToMeeting, Cisco Webex y otras plataformas de videoconferencia eran meras comodidades para realizar llamadas de conferencia o organizar un seminario web.

Ahora, a medida que se extienden COVID-19 y las recomendaciones de distanciamiento social, la videollamada es imprescindible para el desarrollo empresarial y las interacciones cotidianas con clientes, compañeros de trabajo y personal.

Si bien algunos aprovechan el software de videoconferencia patentado, muchas organizaciones legales y pymes están recurriendo en gran medida a plataformas comerciales de videoconferencia, incluido Zoom.

A medida que aumenta el uso y la popularidad de Zoom, también lo hacen los informes de sus riesgos de seguridad. Hace unas semanas se presentaron dos demandas colectivas en California, alegando violaciones de privacidad. También se ha informado de «zoombombings» aleatorios donde los asistentes no autorizados inundan una reunión con lenguaje o imágenes obscenas.

A continuación compartimos lo que consideramos las mejores y peores características de seguridad cibernética y usabilidad de las principales plataformas de videoconferencia.

Zoom

Zoom es el software de videoconferencia más popular en este momento, con empresas que dependen mucho de él porque sus clientes prefieren la plataforma. A medida que ha crecido en popularidad, los consumidores también han notado sus deficiencias de seguridad.

Sin embargo, si configuras cuidadosamente la privacidad y seguridad de las reuniones que organizas, puedes evitar las preocupaciones de privacidad y seguridad en tus videollamadas.

Puedes activar una contraseña más rígida y requisitos de acceso fácilmente en la plataforma. El problema fue que Zoom tenía esos controles de seguridad desactivados por defecto.

Sin duda, exigir códigos de acceso para que un cliente se una a la reunión de Zoom programada puede quitarle un poco la facilidad de uso de Zoom, pero es un pequeño inconveniente para una mejor seguridad.

Microsoft Teams

Microsoft Teams es una herramienta de colaboración popular en todas las industrias.

La mayor crítica sobre Teams es que no hay capacidades de marcado similares a Zoom, Webex y GotoMeeting. En cambio, la función de acceso telefónico solo se incluye en el nivel empresarial 3 de Office 365, que es el más caro.

Sin embargo, algunas de las características de seguridad de Teams están preconfiguradas en Office 365, a diferencia de Zoom. Las características de seguridad de los equipos incluyen requisitos de contraseña para ingresar a las reuniones y limitaciones para compartir la URL de una reunión.

Además, Teams está integrado con plataformas de videoconferencia que incluyen Zoom y Webex, Slack, Azure y otros programas útiles.

Webex

Más allá de mirar la pantalla de Webex durante un seminario web, la plataforma no es extremadamente fácil de usar. Si bien sus características de seguridad coinciden con sus competidores, es «voluminoso».

Es una aplicación un poco más grande y más difícil de usar para algunas personas, especialmente si están utilizando el servicio de acceso telefónico frente a las capacidades en línea. Aún así, para los que intentan iniciar sesión en una reunión mientras realizan múltiples tareas, hay múltiples puntos de contacto para acceder a una reunión, a diferencia de otras plataformas.

GoToMeeting

GoToMeeting también tiene características de seguridad que son comunes entre las plataformas de videoconferencia. Los controles de seguridad útiles, pero no extremadamente únicos, de la plataforma incluyen la capacidad de ver la lista completa de los roles y privilegios actuales de los asistentes y la opción de desconectar a los asistentes.

Sin embargo, la interfaz de usuario de la plataforma parece más adecuada para la audiencia tecnológica y comercial.  GoToMeeting también incluye una cámara y un equipo de hardware para soportar videoconferencias en la oficina y conferencias telefónicas, lo que probablemente no sea necesario para la mayoría de los chats de vídeo personales.

WhatsApp 

Una aplicación de mensajería popular en todo el mundo, WhatsApp utiliza el protocolo de comunicación segura de Signal para encriptar las llamadas de voz y vídeo de extremo a extremo entre los usuarios. No es tan resistente como la señal, pero es más conveniente. Los mensajes de texto se cifran de la misma manera. Hasta cuatro personas pueden unirse a una videollamada.

Una aplicación debe cumplir cinco estándares mínimos para considerarla segura:

  1. Cifrado
    2. Actualizaciones de seguridad
    3. Contraseñas seguras
    4. Gestión de vulnerabilidades
    5. Prácticas de privacidad

¿Tienes claro cómo realizar una videollamada de forma segura? ¿Sabes qué aplicación utilizar?