A medida que aumenta el número de trabajadores remotos, la seguridad en videoconferencias se ha convertido en un problema crítico. Por eso en esta edición del blog de Dinecom, le explicaremos ¿Qué necesita saber para proteger su plataforma de conferencias?
Este es el año en que la videoconferencia tomó el centro del escenario. Después de dos décadas de lento progreso y adopción, la industria creció diez veces, en sólo tres meses. La pandemia ha puesto de relieve las ventajas de la tecnología en un momento en que el trabajo remoto se ha convertido en la norma.
Pero toda esta atención también reveló algunas de las vulnerabilidades de la tecnología, en particular, las relacionadas con la seguridad. Hasta ahora, las funciones de seguridad eran un tema secundario, priorizando la versatilidad y facilidad de uso de los sistemas. Ese ya no es el caso. Las deficiencias de seguridad bien documentadas de Zoom, desde la piratería defectuosa del sistema operativo y las malas prácticas de cifrado hasta el llamado “Zoombombing”, ilustran vívidamente los desafíos que enfrentan los proveedores de videoconferencias para garantizar que sus productos sean seguros.
El problema es que la seguridad y la privacidad se entrelazan, mientras se mantienen los requisitos competitivos. Dentro de una plataforma de reuniones empresariales, las organizaciones primero deben decidir a quién proteger y de quién quieren mantener la privacidad.
Por ejemplo, la privacidad completa con cifrado de sesiones de extremo a extremo no es posible en una industria donde las regulaciones requieren que se graben todas las conversaciones. Pero el cifrado sería deseable para evitar que los proveedores de servicios escuchen las conversaciones realizadas durante una sesión de videoconferencia.
Examinemos algunos de los principales problemas de seguridad que enfrentan los vendedores y compradores al desarrollar o buscar una plataforma segura de videoconferencia.
Confianza en estándares seguros
La seguridad de la videoconferencia es un desafío, porque cada plataforma tiene dos grandes riesgos de vulnerabilidad. El primero es una puerta trasera, en algún lugar del algoritmo, que podría explotarse. El segundo está en la implementación misma. Los desarrolladores podrían haberse perdido un control de seguridad o haber tomado una mala decisión de implementación que ha dejado una vulnerabilidad madura para que los hackers la usen.
Considere el estándar de cifrado avanzado, que es una forma de cifrar texto y evitar ataques de fuerza bruta. O Secure Hash Algorithm 1, que es un método para verificar que un archivo en particular no ha sido alterado. Estos, junto con otros algoritmos de seguridad utilizados por los proveedores de videoconferencias, son estándares abiertos que se modifican continuamente, revelando fortalezas y debilidades a medida que pasa el tiempo.
Debería ser una tarea lo suficientemente simple como para elegir algoritmos de seguridad razonables. Pero la amenaza real está en un nivel superior: en cómo se utilizan estos algoritmos para crear un flujo de trabajo completo para un proceso dado. La videoconferencia es un flujo de trabajo bastante desafiante, ya que incluye autenticación y autorización del usuario, señalización, cifrado de medios y administración del servidor.
Para muchos proveedores de videoconferencias, la usabilidad superó la seguridad. Por tanto, es crucial seleccionar una plataforma que se base en estándares abiertos y seguros y utilice algoritmos, tanto de alto como de bajo nivel, que se consideren seguros.
H.323 y el protocolo de inicio de sesión son excelentes ejemplos en los que se estandarizó la seguridad. WebRTC, que exige comunicaciones encriptadas, ofrece una implementación de código abierto e integración de navegador.
Cifrado en tránsito y en reposo
El requisito básico actual para cualquier servicio de comunicación es ofrecer cifrado en tránsito, así como cifrado en reposo. El cifrado en tránsito significa que los datos enviados a través de la red deben codificarse. Para WebRTC, significa que la señalización, la voz y el video deben cifrarse entre dispositivos y servidores.
Los proveedores deben tener una política sólida que rija las actualizaciones de seguridad. Hoy en día no hay un solo producto comercial que no utilice algún componente de código abierto de terceros, ya sea Linux, OpenSSL u otra biblioteca.
El cifrado en reposo se ocupa de toda la información que se mantiene almacenada, desde información de cuenta y mensajes de texto hasta grabaciones de llamadas. Con la seguridad de videoconferencia, esto es más relevante cuando se graban sesiones. Independientemente del servicio de videoconferencia que utilice, hoy debe admitir el cifrado en tránsito y en reposo.
Política sólida de actualizaciones de seguridad
Los proveedores deben tener una política sólida que rija las actualizaciones de seguridad. No hay un solo producto comercial hoy en día que no utilice algún componente de código abierto de terceros, ya sea Linux, OpenSSL u otra biblioteca.
Todos estos componentes de terceros tienen sus propios ciclos de desarrollo y lanzamiento y a menudo, las actualizaciones que publican incluyen parches de seguridad. Algunos de estos parches pueden ser muy importantes para la seguridad de la aplicación que los usa.
Es por eso que los proveedores necesitan políticas internas que estén alerta sobre cómo se emiten las correcciones de seguridad de terceros y, si es relevante, se integran en el producto principal. Esto puede parecer trivial, pero es un paso crítico. Cuanto mejor maneje un proveedor la administración de arreglos y parches, más segura será su aplicación.
Comportamiento predecible
Los hackers confían en patrones, especialmente con el desarrollo de software. Un buen ejemplo es la práctica de emitir contraseñas predeterminadas para periféricos, ya sean enrutadores o impresoras. A menudo, estas contraseñas nunca se cambian y los hackers pueden usarlas para acceder a los dispositivos de forma remota.
La forma más fácil de determinar un elemento repetible es colocar el software en una matriz y luego indexarlo según su número secuencial. En los sistemas de videoconferencia, esta metodología se puede aplicar a cómo se almacenan los archivos de sesión grabados o cómo se crean los números de la sala de conferencias.
Incluso tener acceso a solo unos pocos elementos, como el registro de URL o números de habitación, permite a los piratas informáticos deducir recursos relacionados haciendo una suposición educada. Si estos recursos se dejan sin garantía o se accede a ellos mediante tácticas de fuerza bruta, la seguridad puede verse fácilmente comprometida.
Protección de fuerza bruta
Las identificaciones de usuario y los códigos PIN son necesarios, pero también son los conductos a través de los cuales los piratas informáticos pueden acceder al sistema de videoconferencia.
Además de aumentar la longitud del código PIN y pedir a los usuarios que creen mejores contraseñas, los proveedores de videoconferencias también pueden invertir en formas de prevenir intentos de fuerza bruta. Esto se puede hacer restringiendo el acceso a solo un cierto número de intentos por segundo o minuto o incluso bloqueando el acceso por completo si se detectan múltiples intentos.
El factor humano
La seguridad y la privacidad siempre vienen a expensas de la facilidad de uso. Para que la seguridad de las videoconferencias funcione, los usuarios deben autenticarse. Necesitan identificar quiénes son y demostrar esa identidad. Los invitados que se unan a una sesión deben ser admitidos manualmente. Sin embargo, estos requisitos entran en conflicto con los modelos de facilidad de uso que la mayoría de los vendedores de videoconferencia promueven cuando comercializan sus servicios. Como resultado, la configuración predeterminada de la mayoría de los proveedores tiende a inclinarse hacia la simplicidad y lejos de la seguridad y la privacidad.
Si bien estos ajustes a veces pueden ser configurados por los usuarios, hacerlo puede ser tedioso y confuso. Cuando la seguridad no se construye desde cero, las configuraciones relacionadas con la seguridad tienden a agregarse en forma de parche, lo que dificulta su administración o configuración central.
Seguridad en videoconferencias y el compromiso para la usabilidad
El año pasado, Zoom fue atrapado con su mano en el tarro de galletas de Apple. Cuando se instaló Zoom en dispositivos Mac, también se agregó un servidor web local. El servidor se mantuvo incluso si los usuarios eliminaron Zoom. ¿Por qué? Para que sea más fácil y sencillo para los usuarios si necesitan reinstalar el software para su uso futuro.
Es comprensible que esta práctica se considere un riesgo de seguridad y privacidad. Intencionalmente comprometió la seguridad del usuario para mejorar la usabilidad de la aplicación. Se utilizaron técnicas similares en el pasado para obtener acceso para compartir pantalla en sistemas operativos móviles. Este tipo de comportamiento derrota toda la intención de mantener la seguridad y la privacidad. Y podría haberse evitado adoptando estándares abiertos, en este caso, WebRTC.
La delgada línea entre usabilidad y seguridad.
Seguridad y usabilidad no van de la mano. Agregar más seguridad generalmente viene a expensas de la usabilidad y viceversa. Pero, a medida que la videoconferencia se vuelve más popular, los proveedores deben encontrar formas de mejorar su seguridad, al tiempo que comprometen lo menos posible la usabilidad. Es importante para ellos encontrar el equilibrio adecuado y desarrollar servicios que sean versátiles y seguros.
Si su empresa requiere una solución de videoconferencia segura, contáctenos y juntos buscaremos la herramienta que mejor se adapte a su necesidad.
