La seguridad en los tiempos del Coronavirus – Videoconferencias

La seguridad en los tiempos del Coronavirus – Videoconferencias
Por Esteban San Román, CISSP, CISA, CRISC, CEH, ITIL, ISO 27001 LI/LA

 

Uno de los mecanismos que más ha ayudado en estos tiempos complicados a sobrellevar la tan mencionada “sana distancia” y mantener comunicación con clientes, colegas del trabajo, amigos y familiares es la telepresencia.  En nuestro medio hay soluciones de videoconferencia muy populares como Webex, GotoMeeting, Zoom, Skype, WhatsApp entre muchas otras.  La gran mayoría de las computadoras portátiles, de escritorio, los teléfonos inteligentes y las tabletas cuentan con cámara, altavoces y micrófonos que ayudan a estar rápidamente integrado a las formas generalizadas de interactuar de nuestros días.

Y claro, cualquier innovación tecnológica conlleva ventajas y desventajas.  Para hablar de las ventajas solo hay que consultar la página web de cualquiera de los muchos proveedores de soluciones de videoconferencia que existen.  De lo que no se habla mucho y a lo que quiero dedicar este artículo es a tratar de las desventajas y específicamente de los riesgos de ciberseguridad que están alrededor de la videoconferencia y que pueden ser aprovechados por los hackers, ellos no descansan.

Comencemos primero por explicar cómo es que los hackers se hacen de información, y eso no necesariamente empezó con las videoconferencias, los hackers intervienen y sustraen información de equipos vulnerables, a través de un correo o un mensaje donde usted dio clic al enlace que incluía o páginas web donde también pudo haber accedido a una liga sospechosa de donde descargó e instaló algo en su máquina, si algo de eso le ocurrió su máquina ya podría estar al servicio de un hacker.  El remedio inmediato es vacunar su sistema, volver a escanearlo y tener la esperanza de que esa sola acción haya podido erradicar la presencia de cualquier herramienta o enlace hacia el hacker.

Cuando el hacker tiene acceso a un equipo puede analizar y encontrar vulnerabilidades adicionales en su sistema y programas para explotarlas, sustraer las licencias y contraseñas almacenadas en sus navegadores, tener acceso a sus listas de contactos y direcciones de correo de aquellos usuarios con los que intercambia información además de información de acceso y contenidos que usted sube a redes sociales.  Una auténtica labor de cosecha de todo lo que tiene.

Para reflexionar un poco sobre esto le preguntaría lo siguiente:

  1. ¿Los equipos que utiliza (laptops, tablets, móviles) son propios o pertenecen a su trabajo?
  2. ¿Tiene sus equipos actualizados?
  3. ¿Tiene programas y aplicaciones debidamente licenciados?
  4. ¿Visita sitios, accede servicios o descarga programas y utilerías de Internet de sitios de los que no conoce su reputación?
  5. ¿Utiliza contraseñas de acceso simples? (palabras que pueden estar en un diccionario)
  6. ¿Dispone de mecanismos de protección adecuados para protegerse? (Antivirus, Protección contra intrusos, antimalware, Firewall personal, VPNs, etc.)
  7. ¿Cuántas personas utilizan el mismo equipo?
  8. ¿Tiene privilegios de administrador? Y si los tiene, ¿utiliza algún mecanismo adicional de apoyo, como Biometría o Tokens enviados a su móvil para autenticarse?
  9. ¿Se ha capacitado o informado en temas generales de seguridad de la información?
  10. ¿Cuándo fue la última vez que realizó un respaldo?

Si tiene una respuesta aceptable para cada una de estas preguntas ya tiene un buen punto de partida.  De la misma forma en que protege su casa con buenas cerraduras, alarmas, cámaras de videovigilancia, sus equipos también son la “casa” de su información y de la misma forma los debe proteger, informarse para no caer en las tretas que le puede presentar un hacker,  porque al final del día esto es tan simple como un escenario donde hay alguien que trata de engañar (el hacker) y alguien que resulta engañado (que esa persona no sea usted).

Y entrando a un mayor nivel de detalle en los aspectos alrededor de la videoconferencia usted puede jugar uno de dos papeles:  ser el organizador de la videoconferencia o bien ser uno de los participantes de ella.

El SANS Institute recientemente publicó un documento con tips para cada uno de estos papeles y le comparto lo que sugiere con mis comentarios al respecto:

Si usted es organizador:

 

  • Tenga actualizado el software. Esto no solo aplica a su solución de videoconferencia, el sistema operativo que utilice (Windows, Mac OS, Chrome, etc.) debe estar al día, esa sola acción cubre una cantidad importante de los agujeros y vulnerabilidades que pudiera haber en su sistema.  En mi experiencia a lo largo de los años he observado que la gran mayoría de los ataques exitosos lo fueron porque atacaron sistemas no actualizados. No ignore a su Sistema Operativo si le notifica que hay actualizaciones pendientes. Instálelas.
  • Solicite a los participantes que introduzcan una contraseña de acceso. Esto se hace ya por omisión en la mayoría de las soluciones de videoconferencia.  Zoom no la requería y eso lo hacía vulnerable, pero hoy por default se les pide a los asistentes, la contraseña la proponen casi todos los sistemas y se suele incluir en la invitación.  No desactive esa opción en sus convocatorias.
  • Revise en la ventana de participantes quiénes están en su reunión. Si observa a algún participante que no pueda identificar, solicítele que lo haga.  Si tiene dudas la misma aplicación le permite removerlo.  Algunas aplicaciones manejan “Sala de Espera” de manera que cualquier participante queda en una antesala y solamente con la autorización del organizador puede acceder a la videoconferencia.
  • Si su solución lo permite, una vez que inicie la conferencia puede cerrar la puerta e impedir accesos adicionales. Con esa acción, nadie más podrá acceder, a menos de que usted lo autorice directamente.
  • Remueva a cualquier participante que haya logrado infiltrarse. Así como lo indicamos previamente, las soluciones de videoconferencia permiten ver en cualquier momento en un panel quiénes son los participantes de manera que si alguien está haciendo alguna actividad ociosa o nociva se le podrá retirar de inmediato.
  • Mantenga el control de micrófonos y cámaras. Muchas soluciones de videoconferencia pueden configurarse para que los participantes que accedan tengan de inicio sus micrófonos en silencio y dejar en control total del moderador el habilitar estas funcionalidades cuando sean requeridas.
  • Procure anticipar su ambiente de trabajo antes de compartir su pantalla. Es común que muchos presentadores tengan ventanas abiertas de otras aplicaciones con documentos que no tienen nada que ver con los de la presentación.  La intención de cerrar esas aplicaciones antes de iniciar la conferencia es evitar que involuntariamente se le presente a la audiencia información confidencial o sensible del ponente.   Y sí, imágenes que pueden ser ofensivas que se llegan a manejar en redes sociales o memes. Tenga cuidado.
  • Respecto a la cámara de su máquina. Asegúrese de que en el entorno que está alrededor suyo no haya distractores, como el paso de personas detrás de usted o fotos o documentos sensibles.
  • Respetar a los participantes. En ocasiones y por procedimiento se suelen grabar algunas sesiones como las clases en línea, si eso se va a hacer hay que notificar previamente a los participantes y asegurar de que ninguno tiene inconveniente por esa actividad. Lo mismo aplica a fotografías que puedan tomarse en algún momento de la imagen de los participantes.

Si usted es participante:

 

  • Tenga actualizado sus sistemas. Esto es lo más sencillo y a la vez lo que más veces no se realiza. Acostumbrémonos a tener habilitadas las actualizaciones automáticas y apliquémoslas cuando el sistema nos lo solicite.  No solo actualice su aplicación de videoconferencia, su sistema operativo y sus mecanismos de defensa como el Antivirus.   Usted no saldría a la calle si no estuviera adecuadamente protegido.
  • Proteja su micrófono y su cámara. Si no es un requisito explícito de la conferencia usted puede dejar tanto su micrófono como su cámara apagados. Inclusive puede bloquear físicamente la cámara de su equipo con un Post it para que nadie que no sea usted la pueda utilizar.
  • Asegúrese de que hay detrás y alrededor suyo al usar la cámara. Al igual que el expositor, usted podría tener pizarrones, documentos, diagramas o fotos familiares detrás de usted. Eso podría dejar al descubierto información sensible o confidencial para otros participantes o el ponente.
  • Las invitaciones son exclusivamente para el invitado. Cuando recibe una convocatoria a una reunión no la avance a alguien más sin conocimiento del ponente, en última instancia es el ponente el responsable de que la convocatoria incluya a todas las personas contempladas.  Si tiene dudas pregunte primero.
  • No tome fotos. Si no tiene autorización, no tome fotos de lo que se presenta.  Involuntariamente podría estar compartiendo información sensible.  Ante la duda, pregunte.

No sabemos cuándo terminará esta crisis que nos ha obligado a aprender a colaborar de una forma diferente,  lo que es seguro es que hay un antes y un después de esta situación que experimentamos y probablemente herramientas de colaboración remota y el trabajo desde casa son mecanismos que continuarán vigentes y evolucionando. No hay que temer, hay que afrontar, entender y enfrentar estos nuevos paradigmas para crecer.

 

Esteban San Román

Esteban San Román

Profesional de Seguridad de la información
CISSP, CISA, CRISC, CEH, ITIL

 

Consulta un experto en cobit

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

2 × uno =

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.