Llegamos a ustedes gracias a:



Reportajes y análisis

Que debe y que no debe hacer en una videoconferencia

[14/04/2020] Cuando cualquier tecnología ve aumentar rápidamente su popularidad, el número de malos actores que se aprovechan de los usuarios nuevos y no entrenados también crece. El mundo está viendo esto ahora con los servicios y aplicaciones de videoconferencia, ya que han aparecido informes sobre el secuestro de la popular aplicación Zoom, conocida como "Zoom-bombing".

Con múltiples informes de conferencias interrumpidas por imágenes pornográficas y/o de odio y lenguaje amenazador, la oficina del FBI en Boston emitió recientemente una advertencia a los usuarios de plataformas de videoconferencia sobre los incidentes. El experto en seguridad y periodista de investigación Brian Krebs proporcionó detalles sobre los problemas de contraseñas de Zoom, y cómo los hackers pudieron utilizar métodos de "marcado de guerra" para descubrir las identificaciones y contraseñas de las reuniones de Zoom.

Mientras que las reuniones secuestradas son perturbadoras e inquietantes para los participantes, una amenaza más insidiosa son los intrusos que acechan en las reuniones sin revelar su presencia -una pesadilla tanto para la seguridad corporativa como para la privacidad individual.

Otra pesadilla: miles de grabaciones privadas de reuniones de Zoom han sido descubiertas en la web abierta, según The Washington Post. Zoom le dijo a The Verge que sus propios servidores no habían sido violados, y que los videos probablemente habían sido subidos por los usuarios a otros servicios de almacenamiento en la nube. Pero fueron fácilmente encontrados a través de la búsqueda porque usaron la convención de nombres por defecto de la compañía para las grabaciones.

Bloqueo de reuniones

La buena noticia es que muchos productos de videoconferencia incluyen configuraciones de seguridad que pueden prevenir tales incidentes. La mala noticia es que a menudo se deja a los usuarios sin entrenamiento de seguridad configurar estos ajustes.

Estamos aquí para ayudar. Como parte de su asesoramiento, el FBI ofreció consejos de seguridad para empresas, escuelas e individuos que utilizan servicios de videoconferencia. Después de hablar con otros expertos en seguridad, hemos ampliado esas ideas para crear esta lista de lo que se debe y no se debe hacer en las reuniones web.

No use software de calidad para el consumidor o planes para reuniones de negocios. Es probable que las herramientas de consumo no tengan todas las herramientas administrativas necesarias para bloquear las cosas. Si bien ningún servicio de videoconferencia puede garantizar el 100% de protección contra las amenazas, obtendrá un conjunto más completo de herramientas de seguridad con productos orientados al uso empresarial, muchos de los cuales se ofrecen gratuitamente durante los próximos meses.

Utilice las funciones de sala de espera en el software de conferencias. Estas características colocan a los participantes en una sala virtual separada antes de la reunión, y permiten al anfitrión admitir solo a las personas que se supone que están en la sala.

Asegúrese de que la protección con contraseña esté activada. Zoom ahora auto-genera una contraseña además de una identificación de la sala de reuniones. Asegúrese de que su servicio utiliza tanto un número de identificación de la reunión como una cadena; pero, además, que también tiene una contraseña o PIN independiente. Si el servicio le permite crear una contraseña para la reunión, utilice las mejores prácticas de creación de contraseñas: utilice una cadena aleatoria de números, letras y símbolos; no cree una contraseña fácil de adivinar como "123456".

No comparta enlaces a teleconferencias o aulas a través de mensajes de medios sociales. Invite a los asistentes desde el software de la conferencia y dígales que no compartan los enlaces.

No permita que los participantes compartan la pantalla por defecto. Su software debe ofrecer configuraciones que permitan a los anfitriones administrar la pantalla compartida. Una vez iniciada la reunión, el anfitrión puede permitir que determinados participantes compartan cuando sea apropiado.

No utilice el video en una llamada si no es necesario. Apagar la cámara web y escuchar a través de audio evita posibles esfuerzos de ingeniería social para aprender más sobre usted a través de objetos de fondo. La función de solo audio también ahorra ancho de banda de red en una conexión a Internet, lo que mejora la calidad general de audio y visual de la reunión.

Utilice la última versión del software. Es probable que las vulnerabilidades de seguridad se exploten con mayor frecuencia en las versiones de software más antiguas. Por ejemplo, Zoom actualizó recientemente su software para que requiriera reuniones protegidas por contraseña, y ha dejado de trabajar en nuevas funciones para centrar a sus desarrolladores en la eliminación de las vulnerabilidades de privacidad y seguridad, lo que indica que se producirán más actualizaciones. Compruebe que los participantes estén utilizando la versión más actualizada disponible.

Expulse a los participantes de las reuniones si un intruso puede entrar o se vuelve indisciplinado. Esto evita que se vuelvan a unir.

Bloquee una reunión una vez que todos los participantes se hayan unido a la llamada. Sin embargo, si un participante válido se retira, asegúrese de desbloquear la reunión para que pueda volver a entrar y volver a bloquearla cuando vuelva.

No grabe las reuniones a menos que lo necesite. Si graba una reunión, asegúrese de que todos los participantes sepan que se están grabando (el software debería indicarlo, pero es una buena práctica decírselo también) y dé un nombre único a la grabación cuando la guarde.

Instruya a todos los empleados que organizan reuniones sobre los pasos específicos que deben seguir en el software que utiliza su empresa para garantizar que sus conferencias sean seguras.

Por ejemplo, Gabriel Friedlander, director general de la empresa de formación en concienciación sobre seguridad Wizer, publicó en LinkedIn una lista de configuraciones de seguridad recomendadas para las personas que utilizan Zoom, ya sea a través de sus empresas o para reuniones personales. Aquí hay un resumen de sus recomendaciones:

  • Apagar [Video de los participantes]. Pueden volver a encenderlo una vez que les permita unirse.
  • Apagar [Unirse antes del anfitrión]
  • Apagar [Usar el ID de reunión personal (PMI) al programar una reunión]
  • Apagar [Usar el ID de reunión personal (PMI) al iniciar una reunión instantánea]
  • Activar [Requerir una contraseña cuando se programen nuevas reuniones]
  • Encienda [Silencie a los participantes al entrar]
  • Encienda [Reproducir el sonido cuando los participantes entran o salen] (esto lo escucha solo el anfitrión).
  • Activar [Compartir pantalla] -solo el anfitrión
  • Apagar [Anotación]
  • Activar [sala de descanso] -permite al anfitrión asignar a los participantes a la programación de la sala de descanso.
  • En la configuración avanzada, los anfitriones deben activar la función [Sala de espera].

Aunque estos ajustes son específicos del Zoom, cualquier software de videoconferencia que utilice debería ofrecer ajustes similares. Si el suyo no lo hace, es hora de cambiar a un producto más seguro.

Equilibrar la seguridad con la facilidad de uso

Una de las razones por las que el Zoom y otros servicios de videoconferencia han ganado en popularidad ha sido su facilidad de uso para los usuarios finales, muchos de los cuales no suelen utilizar la tecnología con regularidad.

"La gente anhela la simplicidad en lo que respecta a la tecnología, especialmente en momentos de estrés como una pandemia mundial", comenta Reza Zaheri, el fundador de 1:M Cyber Security, que imparte capacitación de concienciación en materia de seguridad cibernética. "Siempre hay un acto de malabarismo entre la seguridad y la facilidad de uso cuando se trata de productos tecnológicos.

"Para generalizar completamente, la mayoría de los legos prefieren no pensar en los aspectos de seguridad y privacidad de un producto. Cuando estas características son introducidas en un producto, e incluso anunciadas como disponibles para el usuario, la mayoría de la gente todavía no configura estos ajustes, y asume que alguien más está manejando estas cosas en su nombre en la parte de atrás".

Zoom ha publicado guías para bloquear las reuniones en una entrada de blog y un video, pero eso sigue poniendo la carga de la protección en los usuarios.

Zaheri dijo que los productos de software deberían tener la configuración de seguridad activada de forma predeterminada, con una configuración de exclusión que muestre un mensaje de advertencia explicando a los usuarios por qué sería un riesgo desactivarlos.

"Creo que la mayoría de las personas que trabajan en casa, y que tal vez no se sientan cómodas con la tecnología, querrían tener configuraciones de seguridad y privacidad sencillas ya instaladas y activadas para ellos", anota. "Solo quieren iniciar el programa y usarlo -estos ajustes ya deberían haber sido configurados para ellos por el proveedor".

Educar a una nueva ola de usuarios de tecnología

Friedlander de Wizer dijo que los esfuerzos de piratería informática en torno a los servicios de videoconferencia han crecido como resultado directo del crecimiento de las políticas de trabajo en casa y escuela en casa tras la pandemia de Covid-19.

"Los hackers y los ciberdelincuentes piensan como los comerciantes, siempre están buscando tendencias y cómo comercializar sus estafas", señala. "El zoom es una tendencia, el trabajo desde casa es una tendencia, el coronavirus es una tendencia, así que estamos viendo muchos nuevos tipos de amenazas debido a eso. Golpea a todo el mundo porque la gente depende de la tecnología hoy más que nunca".

Lo que es diferente ahora, en comparación con las anteriores amenazas a la seguridad, es que todo un nuevo conjunto de usuarios de tecnología -estudiantes, profesores, familiares y pequeñas organizaciones como estudios de karate, fitness y danza- están utilizando la videoconferencia para impartir clases, a menudo sin ningún tipo de soporte informático o de seguridad detrás de ellas. Los esfuerzos tradicionales de mensajería en torno a la formación en seguridad, como los correos electrónicos o los mensajes de Twitter, necesitan expandirse hasta donde esta nueva audiencia los vea, añade Friedlander.

"Si se quiere llegar a esas personas, hay que hacerlo a través de los canales en los que están ahora", aconseja. "Ya estoy viendo más gente de TI y de seguridad haciendo videos de TikTok. Tal vez el material es el mismo, pero la forma de entregarlo tiene que adaptarse donde la gente [pueda verlo]".