Llegamos a ustedes gracias a:



Reportajes y análisis

8 aplicaciones de video chat comparadas: ¿Cuál es la mejor para la seguridad?

[12/11/2020] El escándalo envolvió al popular software de videoconferencia Zoom cuando su promesa de proveer cifrado de extremo a extremo (E2EE), resultó ser una mentira. Durante años el cliente de Zoom informó a los usuarios que "Zoom estaba usando una conexión cifrada de extremo a extremo". Zoom incluso mintió a la SEC en el 2019 en sus archivos pre-IPO, afirmando que ofrecía "cifrado de extremo a extremo" cuando no lo hacía.

A principios de julio, la ingeniería inversa realizada por los investigadores de Citizen Lab demostró un cifrado inferior al estándar y que no era de extremo a extremo, y claves enviadas a los servidores en China. El CEO de Zoom, Eric Yuan, dijo al Wall Street Journal que "realmente lo estropeó", y que planea hacerlo mejor.

La principal diferencia entre Zoom y sus principales competidores, Google Meet y Microsoft Teams, es que Zoom mintió acerca de ofrecer E2EE, y Google y Microsoft ni siquiera pretenden ofrecer E2EE. Aquellos que buscan una verdadera solución de videoconferencia cifrada de extremo a extremo, tendrán que ir más lejos y hacer concesiones a cambio de ese mayor nivel de seguridad.

CSO hizo un análisis de alto nivel de la seguridad de Zoom, Google Meet, Microsoft Teams, Webex Meetings de Cisco, FaceTime, Signal, WhatsApp y Wire. Esto es lo que encontramos.

Zoom

Tras el escándalo de seguridad de Zoom, organizaciones como las escuelas de la ciudad de Nueva York, Google y el Senado de los EE.UU. se han deshecho del software. Por lo tanto, usted debería dejar de usar Zoom porque todas las alternativas son prístinas y 100% seguras, ¿verdad?

Si bien la muchedumbre furiosa de infosec está actualmente asediando a Zoom y, cabe señalar, exponiendo prácticas de seguridad preocupantes en el interés público, es probable que haya problemas de seguridad inéditos con los competidores de Zoom. Confiar en otro proveedor simplemente porque no es Zoom, no sería lógico. Independientemente de la solución que mejor se adapte a sus necesidades, el comprador asume el riesgo.

Zoom está invirtiendo dinero en el problema y contratando a los principales expertos en seguridad para mejorar su oferta. De hecho, el 14 de octubre, la compañía anunció que la oferta de E2EE estaría disponible como un avance técnico tanto para usuarios gratuitos como de pago.

La función E2EE tiene algunas limitaciones, al menos por ahora. Con el E2EE activado, se pierden características como la grabación en nube, el streaming y la transcripción en directo. La hoja de ruta de Zoom incluye nuevas características como la mejora de la gestión de identidades y la integración de E2EE SSO en algún momento del próximo año.

Signal

Si necesita un verdadero E2EE para una videollamada uno a uno, entonces Signal gana sin duda alguna. El mejor cifrado de Signal asegura el texto, los mensajes de audio, las llamadas de audio y las videollamadas.

¿La única desventaja? Signal no ofrece videoconferencia de grupo. Actualmente, los mensajes de texto en grupo son lo máximo que Signal ofrece. En el momento en el que necesite una videoconferencia de grupo de más de dos personas, entramos en un terreno de intercambio. Las especificaciones técnicas completas de Signal, incluyendo el cifrado, están disponibles aquí.

WhatsApp

¿Sabía que WhatsApp ofrece videoconferencia para hasta cuatro personas? Nosotros no. Aunque no está optimizado para empresas, WhatsApp dice que utiliza el mismo protocolo de cifrado que Signal, y que la aplicación se puede descargar y utilizar de forma gratuita. Facebook también ha invertido una cantidad sustancial de dinero en ampliar el ancho de banda disponible para los usuarios de WhatsApp y eso se nota. Los videos intercontinentales pueden ser nítidos y claros. Los detalles completos del cifrado de WhatsApp están disponibles aquí.

Wire

Al igual que WhatsApp solo que con un mayor enfoque en la empresa, Wire también ofrece videoconferencia para hasta cuatro personas y audioconferencia para hasta 20. Al igual que Signal y WhatsApp, el cifrado de Wire está "siempre activado" y no hay opción de desactivarlo.

Alan Duric, COO, CTO y co-fundados de Wire, le dijo a CSO que este utiliza un protocolo de cifrado llamado Proteus. "Proteus es una implementación independiente del protocolo Axolotl/Double Ratchet, que a su vez deriva del protocolo Off-the-Record, usando un ratchet diferente. Este tipo de protocolo está optimizado específicamente para la mensajería móvil y multidispositivo."

Duric señala que la ampliación de las videoconferencias E2EE a más usuarios es un problema técnico difícil al que se enfrentan todos los proveedores, y que su equipo está trabajando en "la próxima generación de conferencias telefónicas cifradas E2E que permitirán grupos más grandes y ofrecerán la misma experiencia al usuario que las soluciones no cifradas". El diseño de seguridad anunciado por Wire se puede encontrar aquí.

FaceTime

¿Necesita realizar una videollamada con más de cuatro personas y todo el mundo está en un dispositivo de Apple? El software de videoconferencia de Apple ofrece videoconferencias cifradas de extremo a extremo que soportan hasta 32 usuarios a la vez. ¿La trampa? Solo funciona en los dispositivos de Apple. Si quiere invitar a alguien que usa Windows, Linux o un dispositivo Android a unirse a una videollamada grupal, no tendrán la misma suerte.

Según Apple, diseñaron iMessage y FaceTime para usar cifrado de extremo a extremo, y que no haya forma de que Apple descifre el contenido de sus conversaciones. (Por supuesto, hay palabras de equívocas ahí, porque Apple puede descifrar cualquier cosa que se almacene en iCloud, así que asegúrense de desactivar esas copias de seguridad de iCloud, amigos).

Vendedores, no se alegren. FaceTime no ofrece un modo de presentación de diapositivas. Lea más acerca de cómo funciona FaceTime y el enfoque anunciado de Apple sobre la privacidad. Apple no publica detalles del cifrado que utiliza FaceTime, pero los esfuerzos de ingeniería inversa han descubierto problemas de seguridad con la implementación de Apple que podrían permitir que un usuario interno malintencionado de Apple o un atacante sofisticado acceda a sus comunicaciones.

Jitsi

A menudo pasada por alto por las empresas y los consumidores, Jitsi es una solución de videoconferencia gratuita. Esta ofrece E2EE para conversaciones individuales, pero no para videoconferencias grupales, aunque hemos escuchado que su equipo de ingeniería está trabajando en ello.

Los usuarios pueden probar Jitsi en su servidor público en meet.jit.si o con la aplicación Jitsi, disponible para iOS y Android. Debido a que es una solución de software libre totalmente auditable y personalizable, los usuarios empresariales pueden desplegar su propio servidor Jitsi Videobridge en las instalaciones o incluso en la nube. Jitsi utiliza WebRTC en el back-end, lo que significa que la videoconferencia grupal sobre Jitsi pasa a través del servidor a salvo.

Para un proyecto de software libre, la documentación de seguridad de Jitsi es decepcionantemente escasa. La información que publica se puede encontrar aquí.

Microsoft Teams

A los pesos pesados. Quiere colaboración de grupo a escala, dice. No le importa en absoluto el cifrado de extremo a extremo, dice. Entonces Microsoft Teams podría ser lo que está buscando.

Teams no ofrece E2EE y Microsoft es claramente sensible al tema. Cuando CSO le preguntó a Microsoft por correo electrónico si ofrecía videoconferencia E2EE, sus relaciones públicas trataron de distraernos con una larga pista falsa sobre el cifrado a nivel de transporte y el cifrado en reposo en sus servicios, y solo admitieron bajo cuestionamiento que Teams no ofrecía E2EE.

Así que, para enfatizar, Microsoft Teams es una opción sólida de videoconferencia de grupo empresarial si está de acuerdo con que Microsoft y cualquier otra parte capaz y motivada tenga acceso a todo lo que hace.

Webex Meetings de Cisco

CSO se sorprendió gratamente al descubrir que la oferta de videoconferencia de Cisco, Webex Meetings, ofrece encriptación de extremo a extremo para videoconferencias de hasta 100 personas. ¿La trampa? Está desactivado por defecto y tiene que asegurarse de encenderlo.

"Para las empresas que requieren un mayor nivel de seguridad", la documentación de Webex dice, "Cisco Webex también ofrece cifrado de extremo a extremo. Con esta opción, la nube de Cisco Webex no descifra los flujos de medios, como sí lo hace con las comunicaciones normales. En cambio, establece un canal de seguridad de la capa de transporte (TLS) para la comunicación cliente-servidor. Además, todos los clientes de Cisco Webex generan pares de claves y envían la clave pública al cliente del host".

Los usuarios de Webex con una cuenta gratuita pueden llamar al servicio de atención al cliente y pedir que se habilite el E2EE, le dijo un representante de Cisco a CSO por correo electrónico. Webex está claramente tratando de competir en seguridad con los grandes jugadores. Tenemos curiosidad por ver cómo se desarrolla eso.

Entonces, ¿cómo escala Cisco a 100 usuarios de videoconferencia? Utiliza una llave simétrica compartida para todos los usuarios, en lugar de usar llaves de pares, lo que significa que cada usuario tiene una llave simétrica diferente para comunicarse con todos los demás usuarios.

"El costo de usar claves por pares es un enorme estallido de transmisiones", señala el criptógrafo Matthew Green, profesor de la Universidad Johns Hopkins, a CSO. "Eso no escalará bien en las grandes conferencias". Tampoco significa necesariamente una disminución de la seguridad, señala. "Si formo parte de un chat con claves por pares, ahora solo claves N/N keys a la NSA". Las claves por pares, a diferencia de las claves compartidas, implican un intercambio de claves entre todos los participantes individuales.

Google Meet

Google Meet es la alternativa más cercana a la funcionalidad de Zoom y con una falta similar de cifrado de extremo a extremo en su versión primaria. Google es muy claro al respecto.

A pesar de que Google emplea a algunos de los mejores desarrolladores e ingenieros de seguridad del planeta, la compañía aún no ha implementado un sistema de cifrado integral para sus productos más populares, como Mail, Docs, Drive y Meet. La única excepción a esto es Google Duo, la versión de la compañía de FaceTime para Android, que ofrece videoconferencia E2EE para hasta 12 personas.

No se olvide de los metadatos

Los metadatos revelan quién habla con quién, cuándo y por cuánto tiempo. Esto suele ser más revelador que el propio contenido para un observador pasivo en la red. Al seleccionar el software de videoconferencia, considere no solo cómo proteger sus comunicaciones con E2EE, sino también cómo mitigar la exposición de sus metadatos.

¿Adivine qué? No hay ninguna manera de hacer esto. Aparte de los proyectos skunkworks como Herd, un intento de crear llamadas de audio cifradas resistentes a los metadatos (y ni siquiera de video), actualmente no hay forma de eliminar el riesgo de fuga de metadatos para las llamadas de audio y video cifradas.