La pandemia de COVID-19, junto con el distanciamiento social, ha alterado nuestras vidas de muchas maneras. Pero también ha acelerado un proceso que comenzó hace varios años. Todos estábamos pasando cada vez más tiempo en línea antes de que el virus llegara. Pero ahora, viéndonos forzados a trabajar, estudiar y socializar en casa, el mundo online se ha convertido en algo absolutamente esencial para nuestras comunicaciones, y las aplicaciones de videoconferencia se han convertido en una ventana que nos permite ver “de cara” al mundo.
El problema es que, conforme los usuarios buscan estos servicios, los cibercriminales también están haciendo de las suyas: para irrumpir o espiar las conversaciones, propagar malware y robar datos. Los problemas de Zoom han sido los que más publicidad han atraído debido a su creciente popularidad, pero no es la única plataforma cuyos usuarios están potencialmente en riesgo. WebEx de Cisco y Microsoft Teams también han tenido problemas; mientras que otras plataformas, como Houseparty, son intrínsecamente menos seguras (casi por diseño para su audiencia meta, como su nombre lo sugiere).
Demos un vistazo a algunas de las amenazas clave que están allá afuera y cómo puede mantenerse seguro mientras utiliza aplicaciones de videoconferencia.
¿Cuáles son los riesgos?
Dependiendo de la plataforma (y si está diseñada para el trabajo o no) y el caso de uso (negocio o personal), hay varias oportunidades para que un atacante en línea pueda unirse e irrumpir o espiar en una llamada. Lo último es especialmente peligroso si se está discutiendo información de negocio sensible.
Los hackers también pueden buscar entregar malware vía los chats o los archivos compartidos para tomar el control de su computadora, o robar sus contraseñas e información personal y financiera sensible. En un contexto de negocio, pueden incluso intentar obtener el control de su aplicación de videoconferencia y hacerse pasar por usted en un intento por robar información o estafar a sus colegas o empresa.
Los criminales también podrían aprovechar el hecho de que sus dispositivos domésticos no tienen el mismo nivel de seguridad que aquellos en una oficina o una escuela, y que también podría estar más distraído en casa y menos alerta a alertas potenciales.
Para lograr sus metas, los hackers pueden utilizar varias técnicas a su disposición. Estas pueden incluir:
- Explotar vulnerabilidades en el software de videoconferencia, particularmente cuando no ha sido actualizado para combatir las últimas amenazas.
- Robar sus credenciales de inicio de sesión/IDs de sesiones a través de malware o ataques de phishing; o al obtener un ID de sesión o una contraseña desde redes sociales.
- Esconder malware en aplicaciones, links y archivos aparentemente legítimos.
- Robar datos sensibles de grabaciones de las llamadas almacenadas localmente o en la nube.
Zooming in on trouble
Zoom se ha convertido en muchas formas en una víctima de su propio éxito. Con un incremento de participantes diarios en llamadas que fue de 10 millones en diciembre pasado a 200 millones en marzo de 2020, todos los ojos están mirando hacia la plataforma. Desafortunadamente, eso también incluye a los hackers. Zoom ha sido víctima de varios problemas de seguridad y privacidad en los últimos meses, los cuales incluyen el “Zoombombing” (donde una junta se ve interrumpida por personas no deseadas), declaraciones confusas sobre la encripción, una vulnerabilidad en la sala de espera, robo de credenciales y brechas de datos, e instaladores falsos de la aplicación. Para ser justos con Zoom, han podido responder rápidamente a estos problemas, realineando sus prioridades de desarrollo para arreglar los problemas de seguridad y privacidad puestos al descubierto por el uso tan intensivo que se le ha dado.
Y Zoom no está solo. A principios de año, Cisco Systems tuvo sus propios problemas con WebEx, su sistema de videoconferencia empresarial, cuando se descubrió una falla en la plataforma que permitía que un atacante remoto y no autenticado pudiera ingresar una junta protegida con contraseña. Todo lo que se necesitaba era un ID de junta y la aplicación móvil de WebEx para iOS o Android, y con eso podían acceder a juntas sin necesidad de autenticarse. Cisco se movió rápidamente para arreglar esta vulnerabilidad severa, pero otras fallas (que también ya se arreglaron) han aparecido a lo largo de la historia de WebEx, incluyendo una que pudo permitirle a un atacante remoto enviar una solicitud falsa al servidor del sistema.
Más recientemente, Microsoft Teams se unió al grupo de plataformas líderes de videoconferencia con vulnerabilidades potencialmente mortales. El 27 de abril, surgió que por al menos tres semanas (desde el final de febrero hasta mediados de marzo), un GIF malicioso pudo haber robado datos de usuarios de las cuentas de Teams, posiblemente a lo largo de una empresa entera. La vulnerabilidad fue parchada el 20 de abril, pero es un recordatorio a los usuarios de plataformas líderes como Zoom, WebEx y Teams que no son invulnerables y que requieren revisiones constantes para mantener su seguridad. Este efecto se vio potenciado durante la pandemia de COVID-19 cuando los empleados trabajan desde casa y se están conectando a las redes y sistemas empresariales a través de redes y dispositivos domésticos potencialmente inseguros.
Alternativas de videoconferencia
Entonces, ¿cómo elegir el software de videoconferencia más seguro para sus necesidades de trabajo en casa? Hay muchas soluciones hoy en el mercado. De hecho, la decisión puede ser intimidante. Algunas solamente soportan llamadas por audio o video, mientras que otras también permiten compartir y guardar documentos y notas. Algunas sólo son apropiadas para grupos pequeños o sesiones uno a uno, y otras pueden escalar hasta los miles de invitados.
En resumen, necesitará elegir la solución de videoconferencia que más se apegue a sus necesidades, una que cumpla con un mínimo de requerimientos de seguridad para poder trabajar desde casa. Este conjunto de criterios debería incluir encripción punta a punta, actualizaciones de seguridad automáticas y frecuentes, el uso de IDs de reunión autogenerados y fuertes controles de acceso, un programa para gestionar vulnerabilidades y, sin olvidar, buenas prácticas de seguridad por parte de la empresa.
Algunas opciones de videoconferencias, además de Zoom, WebEx y Teams incluyen:
- Signal, la cual está encriptada de punta a punta y es altamente segura, pero sólo soporta llamadas uno a uno
- FaceTime, la aplicación de Apple, la cual es fácil de usar y está encriptada de punta a punta, pero solo está disponible para usuarios de Mac y iOS
- Jitsi Meet es una aplicación de código abierto gratuita que funciona en Android, iOS y dispositivos de escritorio, sin límite de participantes más allá de su ancho de banda
- Skype Meet Now es la popular herramienta gratuita de Microsoft para hasta 50 usuarios que puede usarse sin una cuenta (en contraste a Teams, la cual es una plataforma pagada enfocada a negocios y usuarios de Office 365)
- Google Duo es una opción gratuita para videollamadas solamente, mientras que Hangouts puede también usarse para mensajería. Hangouts Meet es una versión pagada enfocada a empresas
- Doxy.me es una plataforma popular de telemedicina utilizada por médicos y terapeutas que funciona a través de su navegador, por lo que la responsabilidad de mantenerlo actualizado y asegurarse de que las configuraciones de privacidad y seguridad son las adecuadas recae en usted. Una consulta médica remota es una preocupación muy relevante durante estos tiempos de distanciamiento social, cuarentena y trabajo en casa.
¿Cómo me mantengo seguro?
Sin importar cuál sea la plataforma de videoconferencia que utilice, es importante tomar en cuenta que los cibercriminales siempre buscarán aprovechar cualquier brecha de seguridad que puedan encontrar, ya sea en la misma herramienta o en el uso que usted le dé. Entonces, ¿cómo puede proteger sus aplicaciones de videoconferencia? Algunos de los consejos listados aquí son específicos a Zoom, pero considere aplicar sus equivalentes en otras plataformas como una mejor práctica. Dependiendo del caso de uso, puede elegir no habilitar algunas de las opciones debajo:
- Busque la encripción punta a punta antes de registrarse en la aplicación. Esto incluye encripción para datos en reposo.
- Asegúrese de que cada ID y contraseña para sus reuniones son únicos para sus juntas recurrentes (Zoom).
- No comparta ningún ID en línea.
- Utilice la función de “sala de espera” en Zoom (ahora arreglada), para que el anfitrión permita la entrada únicamente a gente conocida.
- Bloquee la reunión una vez que haya iniciado para evitar que alguien nuevo se una.
- Permita que el anfitrión ponga a los invitados en modo de espera, eliminándolos temporalmente de una reunión de ser necesario.
- Configure un sonido que alerte cuando alguien entre o salga de la reunión.
- Configure el modo de compartir pantalla para que sólo el anfitrión pueda hacerlo, y evitar que otros compartan contenido disruptivo.
- Deshabilite las transferencias de archivos para bloquear posible malware.
- Mantenga sus sistemas parchados y actualizados para que no haya bugs que puedan usar los cibercriminales.
- Únicamente descargue las aplicaciones de videoconferencia de tiendas oficiales de iOS/Android y los sitios web de los creadores.
- Nunca haga click en links o abra archivos adjuntos en un mail no deseado.
- Revise las configuraciones de su cuenta de videoconferencia. Apague el acceso a la cámara si no quiere aparecer en pantalla.
- Use un administrador de contraseñas para iniciar sesión en las aplicaciones de videoconferencia.
- Si la opción está disponible, asegure sus contraseñas con autenticación de dos factores (2FA) o Single–Sign–On (SSO) para proteger sus accesos.
- Instale software antimalware de un vendor de buena reputación en todos sus dispositivos y PCs. También implemente una solución de seguridad de redes si le es posible.
Cómo puede ayudar Trend Micro
Trend Micro cuenta con un rango de capacidades que puede soportar sus esfuerzos para mantenerse seguro mientras usa sus aplicaciones de videoconferencia.
Trend Micro Home Network Security (HNS) protege cada dispositivo en su hogar que esté conectado a internet. Esto significa que estará protegido contra links y archivos adjuntos maliciosos en correos de phishing que se hacen pasar como aquellos que envían las empresas de videoconferencias, así como aquellos que envían hackers que pudieron haber entrado a una reunión. Su Vulnerability Check puede identificar cualquier vulnerabilidad en sus dispositivos domésticos y sus PCs, incluyendo laptops empresariales, y su Remote Access Protection puede reducir el riesgo de las estafas de soporte técnico y conexiones remotas no deseadas a su dispositivo. Finalmente, permite que los padres puedan controlar el uso de sus hijos de las aplicaciones de videoconferencia y limitar su exposición a ellas.
Trend Micro Security también ofrece protección contra amenazas web, en archivos y en correos en sus dispositivos. Note también que Password Manager se instala automáticamente con Maximum Security para ayudar a los usuarios a crear contraseñas únicas y fuertes para cada aplicación o sitio web que usen, incluyendo los de videoconferencia.
Finalmente, Trend Micro WiFi Protection (multi-plataforma) / VPN Proxy One (Mac y iOS) ofrecen conexiones VPN al internet desde su hogar, creando túneles encriptados y seguros por los que puede navegar. Las aplicaciones de VPN funcionan tanto en conexiones Wi-Fi como ethernet. Esto puede ser útil para usuarios que buscan una conexión encriptada punta a punta o aquellos que deseen proteger su identidad e información personal mientras interactúan en estas aplicaciones.
Leave a Reply