Videoconferencias seguras: cómo reunirse con seguridad y privacidad

Secure video conferencing photo

Estos días son muy pocas las oficinas que sobreviven sin contar con algún tipo de plataforma de conferencias. Pero algo que olvidan muchos centros de trabajo es que la seguridad de las videoconferencias es igual de importante que la seguridad de las llamadas, los correos electrónicos o cualquier otra forma de comunicación a distancia.

Algo tan trascendente como proteger tus chats de video, en realidad, no suele ser sencillo. Muchas empresas caen en la tentación de conformarse con medidas de seguridad como cortafuegos o contraseñas adicionales en las herramientas web. Sin embargo, en la práctica, esto son solo obstáculos que los hackers pueden sortear y, una vez superados, las organizaciones no tienen protección frente al acceso ilícito a sus comunicaciones empresariales privadas e incluso a los datos de los usuarios. Hasta en el caso de los pequeños negocios, este tipo de ataques puede tener consecuencias devastadoras y costar pérdidas de ingresos inmediatas y una seria mancha en la reputación de la empresa.

El núcleo de un servicio de videoconferencias seguras no esta en los complementos o las herramientas adicionales. Lo cierto es que sin protección directamente incorporada en el servicio, no habrá ningún tipo de seguridad real en las llamadas y conferencias que realices desde la web.

¿Cómo es esta seguridad integrada? ¿Qué pinta tiene? Aquí explicamos exactamente eso analizando qué tipo de tecnología es necesario para conseguir videoconferencias seguras. Para una mayor protección, también hablaremos de algunas buenas prácticas para la seguridad en las videoconferencias.

Contraseñas

La forma más directa para que un hacker obtenga acceso sin autorización a las videollamadas es sencillamente iniciando sesión. Si las contraseñas de los usuarios son demasiado sencillas o comunes, será cuestión de tiempo que un ciberatacante adivine las credenciales correctas.

Por eso cualquier plataforma de videoconferencias seguras debe exigir que los usuarios creen contraseñas lo suficientemente largas y originales (especialmente con letras mayúsculas y minúsculas, números y caracteres especiales). Como confirmará cualquier experto en tecnología, siempre hay empleados que usan contraseñas obvias o demasiado sencillas cuando configuran sus cuentas. Para combatir esto, un servicio de conferencias seguro debe rechazar de plano este tipo de contraseñas inseguras y exigir que los usuarios creen otras más largas.

Video conferencing security for mobile

Sin embargo, garantizar que las contraseñas sean largas y complejas no crea instantáneamente un entorno de conferencias web seguro. Después de todo, las bases de datos de las contraseñas se piratean con frecuencia y se pueden filtrar en la dark web, otorgando acceso a los hackers sin ninguna dificultad.

Por suerte, las bases de datos de contraseñas se pueden mantener seguras mediante el cifrado del proveedor de software. Al aplicar una metodología de cifrado —en especial, SHA512 y sal— las contraseñas almacenadas en las bases de datos resultan ilegibles para cualquiera excepto para el propio sistema mediante complejos códigos. Esto ayuda a garantizar que, incluso ante una intrusión en la base de datos, los datos existentes serán inútiles para los hackers.

Inicio de sesión único y autenticación de doble factor

Sin embargo, en algunos casos, las contraseñas demasiado complejas son contraproducentes para conseguir conferencias web seguras. Por su naturaleza, las contraseñas largas cuestan mucho más de memorizar y es más probable que los usuarios las anoten en algún lugar poco seguro para no olvidarlas. Además, la exigencia de contraseñas complejas, por sí sola, sigue dejando abierta la puerta a que un hacker adivine las credenciales del usuario y acceda mediante un ataque de fuerza bruta.

Una respuesta efectiva a esto es el inicio de sesión único (SSO). En lugar de requerir una nueva contraseña para proteger tu software de video conferencias, el inicio de sesión único (single sign-on) permite que los usuarios inicien sesión en una cuenta existente, como Google o Microsoft. De este modo, el usuario puede reutilizar una contraseña compleja que ya conoce y seguir disfrutando de un inicio de sesión seguro en otros programas adicionales.

Se puede añadir más seguridad a los procedimientos de inicio de sesión mediante la autenticación de doble factor (two-factor authentication o 2FA). Aquí, un inicio de sesión correcto no concede acceso inmediato a la cuenta. En su lugar, los usuarios deben introducir un código recibido en su correo electrónico o número de teléfono o generado por una app de autenticación. Como este paso adicional requiere el acceso a otro dispositivo o cuenta, reduce drásticamente las posibilidades de inicio de sesión no autorizado.

Secure conference call at the huddle room

Cifrado

Sin embargo, los hackers suelen ser conscientes de la dificultad a la hora de acceder a las cuentas directamente y no se detendrán únicamente ante estas medidas. Cuando los intentos de inicio de sesión fracasan, a menudo los ciberatacantes intentarán interceptar las videoconferencias en secreto —algo así como infectar un teléfono para escuchar furtivamente.

La forma más viable de prevenir esto es usar un programa de videoconferencias cifrado. El cifrado, como hemos dicho, mezcla los datos para que resulten ilegibles ante los ojos de usuarios no autorizados: cuanto más sofisticado es el método de cifrado, más difícil resulta descifrar los datos.

Aunque los chats de vídeo utilizan componentes visuales y de audio además del texto, sigue siendo posible proteger las conferencias mediante los mismos métodos de cifrado. Uno de los más seguros es Secure Real-Time Transport Protocol (SRTP), que utiliza una clave de cifrado aleatoria para el contenido multimedia y medios integrados de autenticación de los mensajes intercambiados. Esta combinación de estrategias evita que el vídeo sea interceptado o falsificado por los hackers.

SRTP puede hacerse incluso más seguro usando Datagram Transport Layer Security (DTLS), un protocolo que cubre los mensajes con un cifrado adicional tan complejo que solo puede ser descifrado con la clave del código original. Por eso, esta opción implica llevar la configuración un paso más allá porque comparte esta clave únicamente con otros participantes de la videollamada (no con un servidor central o autoridad, que podría ser una puerta para los piratas informáticos). Todas estas medidas combinadas proporcionan seguridad en supuestos directos y point-to-point para una protección mucho mayor.

WebRTC

Un componente que a menudo se olvida en las conferencias web seguras es WebRTC, una tecnología para intercambios multimedia diseñada para compartir comunicaciones directamente dentro del navegador web. Además de ser un componente muy importante de las transferencias de contenido multimedia en tiempo real, WebRTC es esencial para conseguir la plataforma de videoconferencias más segura posible como resultado de sus protocolos de seguridad incorporados.

Una de las características de seguridad más importantes es también fundamental para el WebRTC: su funcionamiento directamente en el navegador sin ningún plug-in adicional. Como consecuencia, WebRTC y cualquier software de videoconferencias asociado se actualizará con la última sesión tan pronto como actualices tu navegador. Esto hace que sea muchísimo más rápido instalar los últimos protocolos de seguridad y te ayuda a evitar hackeos relacionados con las vulnerabilidades o elementos del sistema.

Secure video conferencing platform for desktop

Además, como WebRTC funciona directamente en el navegador sin necesidad de instalarlo en ningún dispositivo, existe de forma separada a la arquitectura digital de ese equipo. Esto es crítico para la seguridad porque WebRTC no se ve afectado por ningún programa instalado o por las vulnerabilidades del dispositivo; cualquier spyware, virus u otros programas clandestinos que pueden crear los hackers para acceder sin permiso no entrarán en la tecnología del navegador y no afectarán a la plataforma basada en WebRTC.

Todo esto se suma a las medidas de seguridad que WebRTC incorpora por diseño. Fundamentalmente incluye un cifrado completo de extremo a extremo mediante DTLS y SRTP, por lo que los chats web que usan WebRTC por naturaleza funcionan con software de videoconferencias cifrado. WebRTC también establece conexiones directas de navegador a navegador para transferencias de datos en lugar de conectarse a un servidor central, minimizando la posibilidad de que el contenido multimedia sea interceptado.

Supervisión del sistema

Todas estas medidas de seguridad deben ir de la mano de una forma de ver amenazas potenciales o reales. De lo contrario, los usuarios no lograrán comprender las posibles debilidades del sistema.

Este requisito es, en realidad, mucho más fácil de cumplir con el apoyo de un software: el sistema debe tener una herramienta o API para registrar los accesos, y esto debe ser fácilmente accesible para los técnicos locales. Sería incluso mejor que el sistema alertara a los responsables de seguridad si alguna de estas entradas parece ilegítima. Pero lo más importante es que es imprescindible que esta herramienta genere alertas automáticas para los administradores del sistema si detecta una intrusión completa.

Obviamente, esto ocurre en gran medida porque los técnicos deben estar al día inmediatamente ante cualquier intrusión para restaurar de nuevo la seguridad del sistema y solucionar posibles puntos débiles. Pero también es importante contar con una supervisión constante del sistema para mantener la alerta contra ataques masivos al sistema, más conocidos con el aterrador nombre de ataque distribuido de denegación de servicio (distributed denial of service o DDoS). Aunque un sistema de videoconferencias seguras debe ser capaz de prevenirlos desde el primer momento simplemente bloqueando el exceso de tráfico de las direcciones IP que ejecuten el ataque, es esencial que los administradores vean que han ocurrido cuando antes. Un retraso en la notificación de esas amenazas deja espacio para que los hackers reanuden su plan de ataque y vuelvan a intentarlo con métodos más efectivos.

Las herramientas incorporadas que facilitan este seguimiento son vitales; para una máxima seguridad, deben incluir paquetes de datos e información estadística sobre la naturaleza de los intentos de acceso. Aun mejor será si el sistema es compatible con la integración de otras herramientas de control externas (por ejemplo, Zabbix). El resultado es que sin medidas para revisar los intentos de acceso y las intrusiones, resultará imposible cambiar y mejorar las medidas de seguridad existentes.

Instrumentos de moderación

Hasta ahora hemos hablado de herramientas para evitar ataques e interceptación de datos. Son recursos muy valiosos para las empresas pero no son las únicas herramientas necesarias para proteger las reuniones en vídeo. Después de todo, es tremendamente común que los ciberatacantes simplemente irrumpan en las llamadas web e interrumpan las reuniones (una práctica que se conoce como zoombombing).

Para evitar estas situaciones, una plataforma de videoconferencias segura también debe tener herramientas para limitar quién puede acceder a la conferencia, así como herramientas para controlar las llamadas en todo momento.

Una medida de seguridad muy común es establecer una contraseña en las conferencias para bloquear a los invitados no deseados. Para las conferencias pequeñas o los eventos internos, puede ser una buena forma de garantizar la privacidad del evento.

Sin embargo, para reuniones más amplias, las contraseñas se suelen compartir con los invitados, así que es importante adoptar otras medidas de seguridad. Uno de los posibles métodos es proteger las videollamadas permitiendo que accedan únicamente usuarios con invitación (es decir, personas con un registro específico en el software de videoconferencias). De este modo, cualquiera que no tenga un permiso de acceso explícito se encontrará la puerta cerrada y no podrá escuchar tu llamada.

En cualquier caso, incluso esta medida podría no ser suficiente: hackeos de las contraseñas, vulnerabilidades del sistema y problemas de seguridad imprevistos pueden dejar espacio libre para la irrupción de los cotillas en tus videollamadas. Por ese motivo, cualquier sistema de videollamadas seguras también necesita, en última instancia, herramientas de moderación de la sesión para mantener el orden y la privacidad dentro de la conferencia.

Las características de moderación más necesarias son:

  • Silenciar los micrófonos de los usuarios (especialmente a todos a la vez o a todos menos uno)
  • Apagar el vídeo de los usuarios (incluyendo a todos los usuarios o a todos menos uno)
  • Bloquear los intentos de compartir pantalla
  • Eliminar a un usuario concreto de la llamada

Mantener la seguridad requerirá que todas estas medidas estén disponibles, aunque la verdad es que lo más deseable es que no sea necesario usarlas.

Pero piensa que con características como estas será siempre más sencillo crear una llamada de conferencia web segura, aunque una o varias medidas de seguridad previas fallen.

Buenas prácticas de seguridad en las videoconferencias

Incluso aplicando medidas de seguridad como estas, las intrusiones siguen siendo posibles si se abre la ventana del error humano. Por eso, además de usar tecnología efectiva para proteger tus conferencias web, es fundamental que los trabajadores mantengan buenas prácticas para la seguridad en videoconferencias y no las pierdan de vista en ningún momento.

Aunque la tecnología debe diseñarse con seguridad desde su concepción, siempre existe la posibilidad de que los empleados esquiven esta seguridad, por ignorancia o malicia. Como se ha esbozado antes, las contraseñas y el acceso a las cuentas son la primera línea: si un cibervillano consigue las credenciales de acceso de la cuenta de un empleado en tu plataforma de videollamadas, conseguirá acceso a una cantidad inconfesable de datos y comunicaciones.

Así, con diferencia, la buena práctica más importante sobre la seguridad en las videoconferencias es mantener la confidencialidad de las contraseñas en todos los casos. Los empleados nunca deben compartir sus contraseñas en chats, correos electrónicos o incluso llamadas, pues los hackers con frecuencia intentan engañar a los usuarios para que compartan esta información fingiendo que son alguien autorizado en la empresa (una práctica conocida como phishing). Así que si las credenciales de acceso se mantengan en privado, ya habrás dado un gran paso para proteger tus videoconferencias.

En las videollamadas, sin duda hay más orientaciones que es recomendable respetar. Estas son las más importantes:

  1. Expulsa inmediatamente a los sospechosos: A menos que celebres un foro abierto para mucha gente, los usuarios que no reconozcas no deben formar parte de las videollamadas. Para evitar que interrumpan la llamada o escuchen información confidencial, elimínalos instantáneamente.
  2. No temas que se haga el silencio con “mute all”: Si un grupo de troles entra en tu llamada, es crucial que les mantengas en silencio mientras gestionas su expulsión. Las funciones para silenciar a todos los participantes te ayudarán a mantener el orden hasta que les eches.
  3. Aléjate de los enlaces sospechosos en el chat: Muchos hackers colocarán URL en el chat para sembrar el caos incluso después de que les expulses. Como estos enlaces siempre dirigirán a los usuarios a sitios dañinos o spam, advierte a los usuarios para que no hagan clic en ellos o, mucho mejor, bórralos de la pantalla.
  4. Recuerda desactivar la opción de compartir vídeo y pantalla: Muchos troles interrumpen las llamadas con imágenes obscenas y ruidos insoportables. Los moderadores y anfitriones siempre deben tener en cuenta que pueden desactivar el vídeo o impedir que otros usuarios compartan pantalla.
  5. Añade límites a las conferencias si es necesario: Las contraseñas o los límites de usuarios pueden ser una forma muy potente de evitar que los troles se cuelen en tus videollamadas. Cuando no necesitas que entre más gente, valora utilizar esta medida de seguridad adicional.
  6. Utiliza la opción para empezar sin vídeo ni voz: En las conferencias abiertas a un público amplio, configurar la conferencia para que los usuarios estén silenciados y sin vídeo desde el principio puede ser un buen cortafuegos frente a interrupciones.
  7. Utiliza webinars cuando resulte mejor: Los eventos con muchos participantes y pocos ponentes suelen funcionar mejor en formato webinar que como videoconferencias, pues con la configuración para webinars, las opciones de participación de la audiencia son limitadas. Esto ayudará a reducir las interrupciones al mínimo sin mucho esfuerzo por parte del moderador.

Aplicar alguna o todas estas buenas prácticas para la seguridad en las videoconferencias se sumará a la seguridad que proporciona una tecnología efectiva.

Reflexiones finales

Como el teletrabajo sigue siendo cada vez más habitual, nunca ha sido tan importante mantener la seguridad de las conferencias y de los videochats. Pero esta seguridad no está en absoluto limitada a las llamadas; es igual de importante mantener el sistema y sus datos asociados, incluyendo los archivos que se intercambian y las grabaciones de llamadas, a salvo de fisgones no autorizados.

Algunas buenas prácticas te acercarán mucho a este objetivo pero, por sí solas, no te acercarán lo suficiente. Los protocolos incorporados como la protección de inicio de sesión, el cifrado y las conexiones directas de navegador a navegador pueden funcionar en combinación para mantener las reuniones de tu empresa en privado, incluso cuando se realizan en internet.

Pero es crucial que estas medidas estén integradas en la solución y siempre estén activadas como componente de la plataforma, en lugar de funcionar como complementos o add-ons que se pueden desconectar. Para estar realmente seguro en una videollamada, las medidas de seguridad tienen que ser un aspecto inherente del sistema y formar parte indisociable de su diseño.

Como ejemplo de una app de conferencias completamente segura, descubre cómo se incorpora la seguridad a Wildix, la primera herramienta de videoconferencia desde el navegador creada para las ventas.

Para más consejos sobre ciberseguridad y tecnología empresarial segura, ¡suscríbete para recibir gratis nuestro magazine!

Social Sharing

Deja un comentario