Lo que tienes que saber para evitar ser espiado durante una videoconferencia

El espionaje industrial a través de videoconferencia es una tendencia al alza. Las organizaciones se exponen a diario al ciberespionaje sin ser conscientes de que sus comunicaciones por videoconferencia son muy vulnerables y fácilmente hackeables. Como ejemplo podemos citar el hackeo del sistema de vídeoconferencia de la sede de la ONU en Nueva York por parte de la Agencia nacional de seguridad de los EEUU (NSA). Los expertos de la NSA también hackearon los sistemas de videoconferencia de la Agencia Internacional de la Energía Atómica con sede en Viena, los del consulado de la Unión Europea en Nueva York y los de 80 embajadas y consulados de todo el mundo, incluidas las de países aliados, en un proyecto llamado “programa especial de recopilación”. No obstante los casos de espionaje a través de videoconferencia no suelen salir a la luz, muchas veces porque las empresas no se enteran de que están siendo espiadas y otras porque no quieren que se sepa que no se han sabido proteger.

Últimamente se habla mucho de la guerra económica entre China y EEUU, ambos países se acusan mútuamente de utilizar capacidades de escucha y lo cierto es que en EEUU las empresas de tecnología están sometidas a la US Patriot Act o Ley Patriota, que las obliga a estar dotadas de backdoors (capacidades de escucha). En China, recientemente el dueño de Huawei se defendía diciendo “Ninguna ley en China requiere que sus compañías instalen ‘backdoors’ -un tipo de programa malicioso que permite acceder a cualquier dispositivo y controlarlo sin conocimiento de la víctima- obligatorias, y Huawei nunca ha recibido ninguna petición de ningún gobierno para proporcionar información de manera indebida”. No obstante durante el Foro Internacional de Ciberseguridad celebrado en Lille hace dos semanas, los expertos alertaban a las empresas europeas del riesgo de espionaje al usar tecnología de EEUU, China o Rusia, pues afirmaban que dichos países sí tienen leyes que con el pretexto de luchar contra el terrorismo, dejan la puerta abierta al ciberespionaje por parte de cualquier ciberdelincuente.

Lo cierto es que cuando el río suena agua lleva, y ante la duda mejor usar soluciones de videoconferencia europeas, pues la información que se intercambia es en muchos casos confidencial y estratégica, por lo que debe estar absolutamente protegida contra cualquier riesgo de espionaje.

Los sistemas de videoconferencia tradicionales basados en protocolos H.323/SIP son muy vulnerables

Un caso reciente, es el caso de FaceTime. Apple tuvo que desactivar durante unos días la función de videollamadas grupales pues saltó a la luz que se podían escuchar las conversaciones. FaceTime está basada en el protocolo SIP.

Está claro que los sistemas de videoconferencia tradicionales son un objetivo habitual de ataques informáticos, a través de los protocolos SIP/H.323, que requieren la apertura de puertos de red, no sólo en el propio sistema, sino también en su infraestructura de red. Este es un riego importante, ya que cada puerto abierto es un posible punto de acceso malicioso a su información por parte de los ciberdelincuentes.

Además los flujos de audio, vídeo y datos se mezclan y descifran al pasar por el servidor (unidad central multipunto) antes de enviarlos de vuelta a los participantes. Un cifrado real de extremo a extremo (de cliente a cliente) además el cifrado de cliente a servidor es crucial para poder prevenir un ataque informático, pero a día de hoy los sistemas de videoconferencia basados en SIP/H.323 sólo pueden ofrecer un cifrado entre dos puntos pero no pueden cifrar de extremo a extremo en un escenario multipunto que es el más habitual en el mundo empresarial.

Muchas aplicaciones de software de robots utilizan los protocolos SIP/H.323 para identificar y atacar sistemas que utilizan estos protocolos. Este riesgo aumenta aún más cuando un dispositivo está en modo de respuesta automática.

En el contexto de una reunión externa, los flujos de comunicación atravesarán muchos equipos (router, proxy…) que no pueden ser controlados. Si la cadena de certificación no se verifica adecuadamente, los flujos pueden descifrarse inyectando un falso certificado raíz o intermedio. La mayoría de los terminales H.323/SIP no realizan esta comprobación.

Si los invitados a la videoconferencia no tienen que autenticarse con usuario y contraseña cifrada e irreversible, puede que aparezca algún “invitado sorpresa”, lo que es habitual en los software en los que se accede únicamente a través de un enlace compartido además de forma pública.

También es importante que el software esté firmado de forma digital para garantizar su autenticidad y sobre todo que sea “secure by design”. Es muy importante que la seguridad se tenga en cuenta desde su concepción y en todas las capas, aunque todavía hay muy pocos fabricantes de software que ofrezcan estas soluciones. Si el software se ha desarrollado “secure by design” y ofrece un cifrado multipunto, aunque el servidor se vea atacado, se preservará la confidencialidad de las comunicaciones. Si además el software se actualiza automáticamente siempre tendrás la solución de videoconferencia con los últimos parches de seguridad (muchas soluciones tradicionales no se actualizan automáticamente y si el usuario no lo hace, los hackers pueden aprovecharse de ello).

Además si hablamos de videocolaboración, donde estamos compartiendo documentos, es importante que los mismos vayan cifrados, que cada reunión online se ejecute en un proceso separado en el servidor (para garantizar la estanqueidad de datos de una reunión a otra) y que el proceso asociado a la reunión desaparezca con todos sus datos cuando termine la misma, cosa que tampoco suele ocurrir con las soluciones de videoconferencia tradicionales, donde documentos confidenciales se quedan guardados en el servidor y se puede acceder a ellos desde otra reunión.

Para terminar, es interesante ver si la solución de videoconferencia está alojada en el servidor interno del cliente o en la nube, pues la polémica Cloud Act o ley de la nube vulnera las garantías del RGPD, ya que obliga a toda empresa de tecnología americana a ceder al gobierno de los EEUU los datos que sus clientes tengan alojados en el servidor en la nube, independientemente de donde se encuentre el mismo. Teniendo en cuenta que más del 90% de soluciones de videoconferencia son americanas y ofrecen sus servicios en la nube, esta ley plantea cierto temor cuando pensamos en la privacidad de nuestros datos.

Ante tal situación, si quieres preservar la confidencialidad de tus videoconferencias, es importante utilizar una solución segura que ofrezca un cifrado mutipunto, que no esté basada en protocolos H.323/SIP, 100% europea que no esté sometida a leyes gubernamentales que le exijan estar dotada de capacidades de escucha, y a ser posible que haya obtenido una cualificación/certificación de un organismo oficial que avale su seguridad como el CCN en España o la ANSSI en Francia.

Maribel Poyato, Country Manager de Tixeo España