TELECONFERENCIA – AHORA SABRÁS CÓMO DESCUBRIR SI TU APLICACIÓN ES REALMENTE SEGURA.

teleconferencia

TELECONFERENCIA – En Seguridad-Ofensiva hemos recibido durante estos últimos meses algunas consultas de nuestros clientes con relación a las directrices necesarias para elegir un sistema o aplicación que provea una conexión segura para teleconferencias.

También, surgió hace un tiempo atrás, la controversia sobre Zoom, que es una empresa de tecnología de comunicaciones con sede en San José, California, que provee a sus clientes comunicación remota a través de su aplicación para video conferencia.

Vemos que hay bastante interés en la seguridad informática relacionada con los sistemas que proveen comunicación remota, debido principalmente a la pandemia del COVID-19; por lo tanto, en Seguridad-Ofensiva nos dimos a la tarea de analizar esta situación desde nuestra perspectiva y compartir los resultados con ustedes.

En primer lugar, es importante explicar que la seguridad informática es multilayer o multicapas; por lo tanto, para considerar si un sistema es seguro o no, debemos considerar todas las capas para saber si esta provee seguridad real. Estas capas son: acceso, transferencia, entrega, y privacidad.

Pongamos por ejemplo a Zoom, la cual fue cuestionada por otros proveedores de tecnología y clientes que decían, y con justa razón, que esta aplicación era susceptible a un ataque llamado Zoombombing, ataque el cual permite que una persona no invitada se une a una reunión de Zoom. Pensemos ahora por un momento que Zoom es una aplicación segura que provee seguridad de alto nivel a sus clientes, pero resulta que vende la información de sus clientes a terceros. ¿Pudiese una aplicación con tales prácticas ser considera segura por y para sus clientes? La respuesta es no.

Nuestra idea es analizar cada capa de seguridad en las aplicaciones de teleconferencia, entender en que consisten los protocolos de seguridad en cada capa, y dejarlos decidir. Ahora sabrán a que prestar atención cuando busquen una aplicación de teleconferencias realmente segura.

TELECONFERENCIA – Analisis

CAPA 1 – ACCESO A LA APLICACIÓN

Es muy fácil definir si una aplicación provee altos estándares de seguridad en la capa de acceso. Debemos prestar atención a dos puntos:

  1. Acceso de autenticación multifactorial: La autenticación multifactorial, o por sus siglas en inglés (MFA), es un sistema de seguridad que verifica la identidad de un usuario al requerir múltiples credenciales. Es un componente crítico de la gestión de identidad y acceso (IAM). En lugar de solo solicitar un nombre de usuario y contraseña, el acceso de autenticación multifactorial requiere otras credenciales adicionales, como un código del teléfono inteligente del usuario, la respuesta a una pregunta de seguridad, una huella digital o reconocimiento facial. Si tu sistema de teleconferencia no posee un acceso de autenticación multifactorial, es mejor que te asegures que tienes una contraseña de mas de 15 caracteres que incluya símbolos, números, y mayúsculas. Además, debieses cambiarla todos los meses.
  2. Requerimiento de creación de contraseña con altos estándares de seguridad: Si tu sistema de teleconferencias te permitió crear una contraseña de usuario como la siguiente: 123456 o pass1234, debes tener claro que ni la aplicación de teleconferencia ni tu cuenta estarán seguras.

CAPA 2 – TRANSFERENCIA

Si, como estaban pensando, nos referimos a la encriptación. Es cierto que muchas de estas compañías reclaman tener sistemas seguros de cifrado, y la verdad es que hay bastantes sistemas de cifrado, pero en este caso en particular, la aplicación debiese ofrecen un encriptado de extremo a extremo (E2E). Este tipo de cifrado de extremo a extremo (E2E) es un sistema de comunicación en el que solo los usuarios pueden ver o leer los mensajes. En principio, evita que los espías potenciales, incluidos los proveedores de telecomunicaciones, los proveedores de Internet e incluso el proveedor del servicio de comunicación, puedan acceder a las claves criptográficas necesarias para descifrar la conversación.

Otro punto que destacar en la capa de transferencia está relacionado con las acciones y configuraciones que le permite la aplicación realizar al usuario. Por ejemplo, cuando utilizas tu aplicación de teleconferencia, ¿puedes ver y controlar quién se conecta a las sesiones de colaboración?; porque si no puedes realizar estas acciones quizás el día de mañana tengas una reunión virtual con un hacker al cual le estés entregando información empresarial o personal sin que te logres darte cuenta a tiempo.

También, es importante destacar que la información que compartes en tu aplicación de teleconferencia como conversaciones de texto, imágenes, y documentos, pudiesen ser almacenadas por la aplicación “para fines no específicos”. Como usuario de tu aplicación, ¿puedes borrar información de tu perfil en forma segura?; si la aplicación no te permite borrar la información compartida, deberías buscar otra aplicación.

CAPA 3 – ENTREGA

Pudiese ser que todos los resguardos de seguridad estén bien configurados en tu dispositivo y aplicación; ¿será así en el computador a dispositivo de tu receptor?; porque si no es así, existe una posibilidad que el computador de tu receptor esté infectado con uno de los cientos de virus, keyloggers, o ransomware que existen los cuales pudiesen robar la información de tu receptor y la tuya. En este caso, es el empleador quien debe proteger la información de la empresa proveyendo de dispositivos seguros a sus empleados.

CAPA 4 – PRIVACIDAD

Esta capa es la más conocida, expandida, polémica y vulnerada. Si tu proveedor de aplicación de teleconferencia vende tus datos personales para sacar provecho empresarial, ELIGE OTRO PROVEEDOR.

Esperamos que este documento les sirva para elegir buenos proveedores de aplicaciones de teleconferencias.

Hasta la próxima…

En Seguridad-Ofensiva, nuestro objetivo es educar a nuestros clientes y amigos en relación con las vulnerabilidades que pudiesen estar presentes en sus sistemas tecnológicos con el fin de que puedan estar al tanto de estas y puedan tomar las medidas correspondientes antes de que un hacker tome ventaja de ellas.

Search us on LinkedIn: https://www.linkedin.com/company/segu

WhatsApp Business: https://wa.me/15616744071

Google Business: https://g.page/seguridad-ofensiva?gm

Website: https://seguridad-ofensiva.com/

Blog: https://seguridad-ofensiva.com/blog

Nuestro Canal de YouTube

Leave a Reply

Your email address will not be published. Required fields are marked *