Seguridad en WebRTC: Comunicaciones más seguras incorporadas en el navegador

Security features of WebRTC, Wildix magazine article

La transferencia de datos a otro dispositivo siempre conlleva ciertos riesgos. Cuando la información se mueve abandona las protecciones locales de tu dispositivo o tu servidor y se vuelve vulnerable, convirtiéndose en un objetivo principal para su interceptación y ataque.

Esto no solo aplica a los intercambios de datos individuales (como los correos electrónicos o las transferencias de archivos). Las conexiones constantes a través de internet, como tu enlace a una página web, también se pueden asaltar y manipular. Por desgracia, esto implica que las comunicaciones VoIP (Voice over Internet Protocol) son especialmente susceptibles de sufrir un ataque.

Los hackers saben que es muy posible que compartas información confidencial (y, por tanto, información de alto valor) en una llamada VoIP, desde credenciales de tus cuentas hasta datos financieros. Y, dependiendo de tu configuración, tal vez no les cueste mucho llegar hasta esa jugosa información. Un canal VoIP, por sí solo, puede ser fácilmente aprovechado por los hackers y tus datos se pueden ver comprometidos rápidamente. Si no cuentas con una forma fiable de mantener la seguridad de ese canal, cada llamada de voz supondrá una brecha en la seguridad, una oportunidad para los piratas.

Sin embargo, existe una herramienta sencilla y práctica que protege las comunicaciones web en cuanto las usas: WebRTC, el protocolo que Wildix lleva 10 años implementando. WebRTC es un estándar muy fiable y además, con la configuración adecuada, protege tus comunicaciones desde el mismo instante en que conectas tu sistema VoIP desde el navegador.

Dale una vuelta a tus comunicaciones virtuales con esta guía básica sobre por qué el WebRTC es lo que más se lleva en la seguridad VoIP.

¿Qué es el WebRTC?

WebRTC (abreviatura de “Web Real-Time Communications”, comunicaciones web en tiempo real) es un protocolo de código abierto para las comunicaciones en audio y vídeo desde internet en tiempo real.

Desarrollado y lanzado inicialmente por Google en 2011, el WebRTC proporciona a los navegadores web una forma sencilla de hablar con otro usuario directamente, sin los plug-ins o plataformas que solían ser necesarias para esa interacción. Como el WebRTC es de código abierto y lo han adoptado los principales navegadores, cualquier aplicación que funcione en el navegador lo puede utilizar para intercambiar audio y vídeo en directo sin tener que instalar nada más.

Para conectar los navegadores web, el WebRTC combina tres reconocidos protocolos:

  • MediaStream: establece el acceso a los periféricos de entrada de un dispositivo (micrófono, cámara, etc.) y los medios de transmisión, después comparte ese contenido con todos los navegadores conectados. También regula cómo el sistema capta esos medios.
  • RTCDataChannel: crea un canal para intercambiar otros datos entre navegadores, garantizando que los elementos de audio y vídeo se pueden intercambiar en su propia línea dedicada y llegar a los usuarios con más rapidez.
  • RTCPeerConnection: conecta los navegadores directamente entre ellos, en lugar de hacer que todos los navegadores se conecten a un servidor. Gracias a esta conexión directa, peer-to-peer, el WebRTC hace que la comunicación en el navegador sea más rápida y segura que las opciones que pasan por servidores.

Esta tecnología está disponible gratis y es muy fácil de usar, por eso se ha convertido en la norma general en las telecomunicaciones en línea. ¿Hay algo mejor? Sí, que el WebRTC hace todo eso manteniendo una seguridad sobresaliente desde el minuto uno.

Seguridad en WebRTC

Las comunicaciones por WebRTC están automáticamente protegidas por su diseño tecnológico. Te explicamos las principales características que lo demuestran.

Conexiones peer-to-peer

Como ya hemos dicho, el WebRTC usa conexiones directas peer-to-peer para intercambiar contenido multimedia. Si bien el servidor de un tercero está involucrado en la mayoría de los intercambios WebRTC (luego hablaremos más de eso), generalmente, el intercambio de tus datos solo os afectará a ti y al resto de usuarios que participan en tu llamada.

Este modelo es genial para tu seguridad porque reduce el número de endpoints por los que pasan tus datos: cuantas menos manos toquen tus datos, menos oportunidades de que los hackers los intercepten.

Diseño basado en el navegador

Como existe en el navegador, el WebRTC aprovecha todas las opciones de seguridad que ya tiene el browser. Esto es fundamental porque los navegadores web están diseñados para ser extremadamente seguros porque están siempre en contacto con mucho tráfico web diferente.

En especial, estar alojado en el navegador implica que el WebRTC solo realizará conexiones si el navegador las aprueba primero. Insistimos en que los navegadores son muy efectivos a la hora de autenticar a terceros, por lo que esto elimina un gran número de amenazas potenciales.

Al estar basado en el navegador, el WebRTC también hace que sea seguro contra los ataques que proceden de tu propio dispositivo. Si tu smartphone o portátil está infectado con malware, por ejemplo, no será fácil que afecte al WebRTC (al fin y al cabo, como no es un plug-in o un complemento, nunca se instala propiamente en tu dispositivo).

Por último, el WebRTC se actualiza automáticamente con la última versión disponible al actualizar tu navegador, por lo que hay muy pocas posibilidades de que te pierdas algún parche importante.

Cifrado

Esta es seguramente el arma principal del arsenal de seguridad WebRTC. Básicamente, el cifrado revuelve tus datos usando un código secreto (o “clave de descifrado”) que solo está disponible para los otros participantes en el intercambio. Con estas medidas activas, alguien que no disponga del código de descifrado no podrá leer tus datos aunque consiga acceder a ellos.

Pero para que el cifrado funcione de verdad tiene que usar algoritmos complejos que cifren los datos de forma fiable. Por suerte, el WebRTC usa dos de los protocolos criptográficos más avanzados: Datagram Transport Layer Security (DTLS) y Secure Real-Time Protocol (SRTP). Juntos, cifran tus datos con un grado de aleatorización excepcionalmente elevado y al mismo tiempo se aseguran de que solo las partes autorizadas tengan acceso a la clave de descifrado.

¿Cómo pueden estar tan seguros de quién está autorizado? Mediante un breve intercambio con el servidor de un tercero, llamado “signaling server“ (servidor de señalización), que confirma la identidad virtual de los usuarios conectados. Entonces, se emite un “certificado” digital con una versión pública del código de descifrado y una confirmación de que el usuario es realmente quién dice ser.

Esencialmente, la única forma de conseguir la clave de descifrado es pasar por un proceso de verificación e, incluso después, la única forma de que la clave de descifrado sea aceptada es presentarla junto a una prueba de esa verificación.

Como todas estas reglas están activadas por defecto, es muy difícil robar datos intercambiados por WebRTC. Si alguien fuera capaz de acceder a tu sesión solo conseguiría una versión de tus datos inutilizable, manteniendo la seguridad de tus comunicaciones incluso si se produce un ataque con éxito.

WebRTC: la seguridad VoIP, más simple

Todos estos componentes funcionan conjuntamente y especialmente bien para las comunicaciones VoIP por su capacidad para combinar con eficacia practicidad y seguridad.

Si hablamos de seguridad, la sencillez es muy importante porque, en general, los usuarios suelen preferir lo que les resulta más fácil y priorizan las tareas sencillas sobre las complejas. Por eso, cuando la seguridad se complica, o bien no se implementa o se acaba sorteando.

Asumámoslo: instalar más apps es un rollo. Hay que dedicar tiempo a instalar una nueva app de conferencias o llamadas y aun más tiempo a configurar medidas de seguridad adicionales. Con todo el trabajo que ya hacemos normalmente desde los navegadores web, suele ser mucho más sencillo ejecutar los programas directamente ahí.

La seguridad dentro del navegador web es fiable porque es muy sencilla, funciona de forma invisible y en segundo plano. De este modo, el usuario no puede desactivar las opciones de seguridad y no es probable que se las salte, por lo que las comunicaciones serán seguras por defecto.

Gracias a esa sencillez, saltan a la vista los motivos por los que WebRTC es, con creces, la norma en la seguridad VoIP actualmente. Y, como norma que es, WebRTC cumple con los estándares más comunes en las mejores prácticas de seguridad con el beneficio añadido de ser un programa de código abierto. Como no está vinculado a ningún desarrollador, el WebRTC no tiene en cuenta el navegador que usas, la app a la que te conectas ni el sistema operativo de tu equipo: eso no importa, te ofrece protección bidireccional total para tus datos sin trabajo adicional ni instalaciones complejas.

Descubre todas las formas en que Wildix utiliza el WebRTC para aprovechar su seguridad y simplicidad con nuestra guía gratuita.

Para más consejos sobre ciberseguridad y solución de vulnerabilidades en IT, ¡suscríbete para recibir nuestra revista de forma gratuita!

Social Sharing