Recomendaciones de seguridad para la utilización del software de videoconferencias zoom.
Por Javier Esteban Bura Peralta.
Motivos de la recomendación:
Fallos de seguridad que atrajeron tanto a bromistas como a delincuentes cuando se multiplicó su uso. Entre otras cosas surgieron quejas por “zoombombing”, reuniones interrumpidas por intrusos que exhibían en la pantalla de todas unas series de imágenes inapropiadas. En una escuela de San Diego este tipo de ataques se hizo durante clases escolares con menores. Un informe reciente del «Citizen Lab» de la Universidad de Toronto, entre otras cosas, encontró que las llamadas de cualquier parte del mundo envían datos a China, país donde la empresa tiene filiales. El vínculo permite suponer presiones gubernamentales para acceder a las llaves de encriptación utilizadas durante las conversaciones. El tema es preocupante sobre todo para reuniones que involucran áreas sensibles del Estado: por ejemplo, el primer ministro británico Boris Johnson realizó una reunión virtual de gabinete en Zoom apenas comenzada la cuarentena. Otro nivel preocupante es, posiblemente el más problemático, en realidad no es patrimonio de Zoom si no del modelo de negocios de las plataformas más exitosas de internet: la acumulación y el uso de los datos de los usuarios como hábitos, redes de pertenencia, intereses, consumos, temas de interés. Los servicios gratuitos o parcialmente gratuitos (freemium) en general ganan dinero acumulando datos de sus usuarios, algo que ambiguamente suelen reconocer en las condiciones de uso que casi nadie lee. Los datos se utilizan o venden a los interesados quienes a su vez los usan con diversos fines, desde segmentar publicidad a distribuir fake news.
Recomendación de seguridad para PC:
Acceder a la «Configuración del equipo» y dentro de la misma «Configuración de Windows» y «Configuración de seguridad». Buscar el apartado «Opciones de seguridad» y dentro acudir a «Seguridad de red: restringir NTML: tráfico NTML saliente a servidores remotos» donde se debe marcar la opción «Denegar todo». Asimismo deberá cada usuario modificar el valor en el registro en la ruta HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 y añadir un valor llamado RestrictSendingNTLMTraffic, al que tendrán que dar el valor 2.
Recomendación de seguridad de utilización en dispositivos celulares:
Gustavo Presman, Posgrado en Cibercrimen y evidencia digital, recomienda que en caso de ser necesario y como última ratio, utilizarla en el dispositivo celular con la condición que sea la única app abierta. Fuente: https://twitter.com/gpresman/status/1243883383178039296?s=20
UTILIZACIÓN DE PROGRAMAS ALTERNATIVOS:
Skype para negocios.-
Skype for Business combina las características y la interfaz del software de consumo Skype con las capacidades de Microsoft Lync. Skype for Business aumenta el límite a 250 contactos, lo que hace de la plataforma una opción viable para la videoconferencia, reuniones virtuales para grandes corporaciones, presentaciones y webinars en vivo. Skype for Business no requiere que todos los participantes sean clientes de Skype para unirse a la reunión y admiten llamadas entrantes desde fijos o teléfonos móviles por un suplemento. Skype for Business tiene una variedad de características convenientes para ayudar a las empresas a colaborar en tiempo real con una seguridad mejorada a nivel de empresa, encriptación de llamadas y autenticación. La solución incluye la capacidad de dar y tomar el control de la presentación a múltiples presentadores, fácil compartir pantalla, una pizarra integrada, y una función de carga de PowerPoint que permite herramientas interactivas como anotación, resaltando, y un puntero láser. Skype for Business es compatible con múltiples dispositivos y sistemas operativos: PC/Mac, iPhones, iPads y dispositivos Android.
Skype for Business es parte de la familia de Microsoft, está diseñado para integrarse plenamente con el Oficina 365 Suite. Puede agregarse un vínculo en el calendario de Outlook y los participantes pueden unirse a la reunión directamente desde su calendario con un solo clic. Con Office 365, los usuarios también tienen características adicionales, como herramientas adicionales de colaboración que permiten a los participantes grabar reuniones, ejecutar preguntas y respuestas, tomar encuestas y agregar archivos adjuntos. Los clientes de Office 365 también disfrutan de 1 TB de sesiones de almacenamiento en nube, IMS y Skype, que transmitirán la reunión a hasta 10k personas.
SEGURIDAD: gracias a la incorporación del protocolo Signal la seguridad de Skype ha aumentado notablemente dado que se ha incorporado el cifrado de extremo a extremo (end to end). Por tanto, los expertos estiman que las medidas para aumentar la seguridad de Skype que ha tomado Microsoft son totalmente beneficiosas para los usuarios.
Reuniones WebEx.-
Al igual que Skype para los negocios, las reuniones de WebEx permiten a los usuarios acoger videoconferencias y sesiones de colaboración para 8 participantes de hasta 40.000 participantes, dependiendo del plan de precios y los servicios adicionales que elija. WebEx Teams es una aplicación próxima que combina la funcionalidad de Cisco Spark con WebEx reuniones, priorizando el trabajo en equipo continuo a través de mensajería directa, pizarras, y fácil compartir archivos, además de las reuniones de vídeo estándar. Ambas aplicaciones pueden combinarse con eventos WebEx, WebEx webcasting y WebEx Training para eventos a gran escala, ferias, sesiones de entrenamiento virtual, webinars y mucho más. Herramientas para usuarios. Las reuniones de WebEx y los equipos de WebEx permiten a los usuarios hospedar pequeñas y grandes reuniones de vídeo desde cualquier dispositivo con encriptación SSL completa de 256 bits para los participantes de conferencias web, que está por encima del estándar de la industria. Ambas aplicaciones proporcionan capacidades de compartición de pantallas, la capacidad de unirse a una reunión con un solo clic y una fácil integración con otras herramientas de productividad. Los usuarios también pueden crear salas de desbloqueo con WebEx, que es una característica genial que permite a los equipos para albergar reuniones privadas dentro de la reunión más grande. Además de estas herramientas, los equipos de WebEx incluyen características adicionales, como una pizarra integrada, grabación y archiving automáticos, una herramienta de mensajería instantánea y más capacidad para compartir archivos y programar.
La WebEx Suite de herramientas realmente brilla cuando se trata de la integración. Mientras que WebEx tiene su propia grabación, programación, mensajería directa y otras herramientas de productividad, también se integra perfectamente con todas sus aplicaciones de trabajo favoritas, incluyendo Google Calendar, Microsoft Outlook, Zoom, Zendesk, Trello, Google Drive , Twitter, y más.
SEGURIDAD: Se ha hecho público un fallo de seguridad en Cisco WebEx que podría permitir que un atacante remoto no autentificado ingresase en una reunión de videoconferencia protegida con contraseña. El problema se debe a la exposición involuntaria de información de la reunión en un flujo de unión a la reunión que es específico para aplicaciones móviles. Por tanto los únicos requisitos para poder aprovechar la vulnerabilidad son conocer la ID o URL de la reunión y disponer de la aplicación WebEx para los sistemas móviles iOS o Android. Los asistentes no autorizados serían visibles en la lista de asistentes de la reunión como asistentes móviles, con lo cual su presencia podría ser detectada por otros participantes de la reunión. Sin embargo, si estos pasasen desapercibidos o no levantasen sospechas entre el resto de asistentes, podría suponer la revelación de cualquier tipo de información sensible que se compartiese en la reunión privada.
Go to Meeting.-
Al igual que Skype para empresas y WebEx, Go to Meeting es una de las soluciones de conferencias web más valoradas en el mercado, ofreciendo audio Web de cristal claro y una impresionante Suite de herramientas de productividad. Los anfitriones pueden iniciar una reunión al instante o programar una reunión y los usuarios pueden unirse en segundos desde un escritorio, dispositivo móvil o sistema de conferencias en la habitación. Go to Meeting ofrece audio web y de acceso telefónico mediante encriptación segura para garantizar que los archivos compartidos, las pantallas y otros datos confidenciales sólo se dirigen a los destinatarios previstos. La plataforma también soporta videoconferencias HD con grabación con un solo clic; la aplicación de videoconferencia HDFaces comparte hasta 25 canales de vídeo de alta definición por sesión. Go to Meeting cuenta con un conjunto de herramientas de productividad que hacen que la solución de conferencias web sea conveniente para los usuarios. Las reuniones con un solo clic permiten a los usuarios reunirse ahora o programar una reunión y lanzar desde una variedad de ubicaciones, como correo electrónico, invitaciones de calendario e IMS. La nueva función Call me permite a las empresas ofrecer una opción de marcación gratuita para todos los asistentes, incluso para los asistentes al extranjero. Otras herramientas incluyen audio Web integrado, intercambio de pantallas y archivos, videoconferencia HD, herramientas de dibujo y anotación, una sala de reuniones personal, aplicaciones móviles, uso compartido de teclado y ratón, y un directorio activo que facilita la administración de usuarios y hosts. Go to Meeting permite a los usuarios unirse al instante sin descarga desde un escritorio o dispositivo móvil, haciendo que las conferencias web sean más accesibles en entornos de ti restringidos. La plataforma también tiene una característica conveniente llamada la sala de reuniones personal. Los usuarios pueden crear un enlace de reunión personalizado que nunca cambia para programar y asistir a reuniones permanentes con facilidad.
SEGURIDAD: Go to Meeting utiliza un cifrado AES de 128 bits que es estándar en el gobierno de EE.UU., y un cifrado SSL que es estándar en la industria, para garantizar que se mantenga la privacidad de la información confidencial de la reunión. Las características de seguridad están incorporadas y no es necesario que ni los usuarios ni los administradores realicen ninguna configuración.
Microsoft Teams.-
Microsoft Teams es una plataforma unificada de comunicación y colaboración en la nube que proporciona a los trabajadores (en la oficina o en remoto) funciones de chat o mensajería instantánea, reuniones en vídeo, almacenamiento de archivos (incluida la colaboración en la auditoría de archivos) e integración de aplicaciones. Teams se incluye servicio de Office 365 y cuenta con extensiones que pueden integrarse con productos «no Microsoft”. Microsoft Teams sustituye, entre otras aplicaciones, a Skype for Business. Una de sus principales ventajas es que está basado en la nube, por lo que se puede acceder desde cualquier lugar a través del escritorio o la aplicación móvil, tanto en iOS como en Android. Como novedad, y desde hace pocos meses, Microsoft Teams está disponible también en Linux. Microsoft Teams está diseñado para la colaboración en equipo. Cada interacción dentro de un equipo es visible para todos sus miembros. Al publicar una pregunta en el “muro” de Teams, se aprovecha el conocimiento colectivo de los miembros del equipo. Teams ayuda a los miembros del equipo a colaborar y crear documentos, también en forma de autoría compartida, a través de una ubicación central en la que se almacenan todos los archivos y notas. La integración de aplicaciones también muestra información externa en este espacio de trabajo y facilita las conversaciones en torno al trabajo o proyecto en curso. Las conversaciones del equipo son visibles para todos los miembros, lo que impulsa respuestas rápidas y colaboración. La integración con Skype for Business permite comunicaciones de chat, voz o video instantáneas con uno o varios miembros del equipo.
Activando Microsoft Teams en Office 365, se dispone de una interfaz de comunicación optimizada para la colaboración. La función de chat de Microsoft Teams permite tener conversaciones entrelazadas, lo que le ayuda a almacenar sesiones de brainstorming, videoconferencias y otras reuniones en un solo lugar fácil de encontrar. Si se utiliza el correo electrónico tradicional para trabajar en un proyecto, se puede perder información crucial en los hilos y ciertas personas pueden perder puntos clave porque alguien olvidó presionar «Responder a todos». Con la plataforma basada en chat de Microsoft Teams, todos reciben el mismo mensaje al mismo tiempo. Como resultado, las personas pueden colaborar y mantener una discusión fluida, ayudando a alcanzar soluciones más rápido y desarrollar planes de acción más eficientes. No solo eso, cuando un nuevo miembro del equipo se une a un proyecto, tiene acceso a las conversaciones anteriores y acceso instantáneo a los archivos relacionados con el proyecto. Microsoft Teams, además, no solo se limita a la funcionalidad de chat o comunicación: puede incorporar cualquier aplicación de Office 365 a la mezcla para aumentar la productividad de su equipo. Todos pueden ver el mismo documento de Word, hoja de cálculo de Excel, presentación de PowerPoint o documento de OneNote mientras se comunican en torno al contenido.
SEGURIDAD: Encriptación: Los datos de Teams están encriptados en tránsito y en reposo. Microsoft utiliza tecnologías estándar como TLS y SRTP para encriptar todos los datos en tránsito entre los dispositivos de los usuarios y los centros de datos de Microsoft, y entre centros de datos de Microsoft. Esto incluye mensajes, archivos, reuniones, y otros contenidos. Los datos empresariales también están encriptados en reposo en los centros de datos de Microsoft, de una manera que permite a las organizaciones desencriptar contenido si es necesario, para cumplir con las obligaciones de seguridad y cumplimiento de normas, como eDiscovery.
Prevención de pérdida de Datos: O Data Loss Prevention, evita que la información sensible sea compartida con otros de manera accidental.
Etiquetas de sensibilidad: Estas etiquetas les permiten regular quién puede acceder a un equipo al controlar la privacidad y los ajustes de invitado del equipo.
Advanced Threat Protection: Les ayuda a proteger a los usuarios de software malicioso escondido en archivos, incluidos archivos almacenados en OneDrive o SharePoint.
Cloud App Security: Les brinda las herramientas para identificar y mitigar actividad sospechosa o maliciosa, incluida la eliminación a gran escala de equipos o la adición de usuarios no autorizados.
UTILIZACIÓN DEL SOFTWARE JITSI MEET COMO ALTERNATIVA A ZOOM:
Jitsi permite actualmente realizar reuniones virtuales de una manera en apariencia muy similar a la de Zoom: alcanza con ir a la dirección web donde se aloja (la más popular es meet.jit.si), crear una sala y compartir el link para que se abra desde un navegador o una app en el celular. Sin embargo, por debajo hay varias diferencias. En primer lugar: es software libre (SL), es decir que recibe contribuciones de una comunidad que lo mejora permanentemente. Además permite analizar su código para saber exactamente qué hace con los datos que transmite e instalarlo en servidores propios para brindar un control muy alto sobre las comunicaciones. De hecho, recientemente ARSAT, la empresa satelital del Estado argentino, instaló uno de estos servicios en su datacenter para que sea utilizado sobre todo por las instituciones involucradas en la lucha contra el coronavirus. “Hace cuatro o cinco años que venimos usando Jitsi”, cuenta Alejandro Del Brocco, director de Servicios de Comunicación de la Universidad Nacional de Quilmes (UNQ). “Antes usábamos otros servicios porque no andaba muy bien, pero hace unos años reescribieron todo el código para poder hacer videoconferencias”. De esta manera, la Universidad tiene una herramienta propia que le da garantías y le permite sostener hasta tres charlas de setenta y cinco personas en simultáneo, aunque frente a la demanda están pensando en abrir otras instancias más. “Además, dentro del campus Moodle, reservamos para ciertas prácticas pedagógicas otro software libre llamado Big Blue Button cuando se requiere para la interacción docente-alumno”. El acceso al código permite articular servicios en un solo portal. Los docentes, administrativos y estudiantes de la Universidad pueden entrar a Mi.Unq, donde encuentran todo tipo de herramientas: su correo, los múltiples servicios del SIU, el campus virtual. El equipo de UNQ lleva años con el software libre como norte. ¿Por qué la decisión? “No es porque sea gratis; de hecho invertimos mucho dinero para esto. Con las autoridades siempre consideramos fundamental mantener la soberanía sobre los datos y la privacidad. Tenemos un data center con muchos recursos de procesamiento por lo que podemos proveer de todos los servicios. La única forma de mantener la soberanía es utilizando software libre”. Los efectos secundarios positivos que tiene el SL (sobre todo las redes de conocimiento que construye, la seguridad y el modelo de desarrollo que implica) a veces resultan difíciles de visualizar cuando uno cree que “solo” quiere tener una conferencia virtual.
En las videollamadas de Jitsi Meet no hay ningún límite en el número de participantes, pudiendo entrar tantos como lo permita la potencia y el ancho de banda del servidor. El servidor te lo puedes descargar tú en su web para utilizarlo en tu ordenador, aunque también puedes acceder a salas que son alojadas en los servidores de Jitsi.
Otra de las cosas por las que destaca Jitsi Meet es por su simplicidad. Cuando entras en su web sólo tendrás una web para escribir el nombre de la sala. Si no existe, la crearás, y si existe, te unirás. En la app móvil, nada más abrir la aplicación ya puedes entrar o crear en una sala. Todo esto, en ambos casos, sin tener que configurar o crear ninguna cuenta. A todo esto hay que añadirle que el servicio cuenta con funciones avanzadas originales para organizarse a la hora de hablar. Jitsi Meet no tiene límite de usuarios en sus videollamadas. Esto quiere decir que no hay un número máximo, y que dependerá de las capacidades del servidor y del ancho de banda en el que se alojen las conferencias. Este servidor puede ser de la propia Jitsi, pero si no quieres que tu llamada esté alojado en un servidor ajeno, tienes en su web un cliente que puedes descargar para hacer que tu ordenador sea el servidor que acoja la llamada. Para poder controlar el peso de la conferencia, la aplicación ofrece la posibilidad de cambiar manualmente la resolución de la cámara, que puede ser HD pero también hay otros tres niveles inferiores de resolución.
De entrada todas las salas están abiertas por defecto para cualquier persona que sepa su nombre. Esto puede crear el peligro de que entren intrusos si usas un nombre común, aunque es muy sencillo poner contraseñas a cualquier sala para evitarlo. Jitsi Meet permite que le pongas cualquier nombre al canal y cualquier dirección personalizada para darle un toque de color o divertimento a tus conversaciones. Sin embargo, ten en cuenta que si es muy común puede haber gente que intente entrar. Todos los usuarios son anónimos por defecto, aunque tendrán la opción de ponerse un nombre para ser identificados. Las llamadas pueden ser de vídeo o de voz, y de hecho, además de facilitarte una dirección web personalizada, cada conferencia tendrá un número de teléfono para poder unirse a ella sin necesitar estar frente a un ordenador. Por último, el servicio puede utilizarse directamente desde el navegador sin instalar nada. Además, el vídeo y el sonido son de alta definición, utilizando los estándares Opus y VP8. También es compatible con el estándar WebRTC, y se ofrecen funciones como la de grabar la llamada con Dropbox o retransmitirla en directo en YouTube. Para la versión por navegador también se ofrece una extensión para Chrome con la que se puede integrar con los calendarios de Google y Office 365, de manera que tengas la posibilidad de programar reuniones y notificar a los demás de cuándo van a llevarse a cabo para que puedan organizarse un poco.
Y por último, Jitsi Meet también ofrece opciones como un chat de texto, elegir los medios de entrada, función para emborronar el fondo de pantalla o levantar la mano de forma virtual para hablar ordenadamente. Puedes silenciar a todos mientras otro habla, hay un contador para saber cuánto tiempo está hablando cada persona, y además de poder establecer un nombre de usuario también puedes vincular tu Gravatar.
SEGURIDAD: Hay muchos motivos por los que Jitsi Meet ha conseguido ganar tantos adeptos en tan poco tiempo; por ejemplo, la seguridad. Jitsi lleva ya un tiempo siendo referencia en cuanto a seguridad en apps de videollamadas, hasta el punto de que es la preferida de Edward Snowden, el famoso informante que reveló los proyectos secretos de la NSA estadounidense. Las comunicaciones de Jitsi Meet no están cifradas de extremo a extremo, ya que son desencriptadas en el servidor que las aloja. Frente a esto, siempre podrás ser tú quien haga las veces de servidor. La web oficial utiliza Google Analytics, por lo que algunos de los datos puede ir sin que lo sepas a Google, pero al ser de código abierto, los desarrolladores que ayudan al proyecto ofrecen un sencillo código para poder desactivar esto y que sea lo más privado posible. Las conversaciones de esta aplicación están cifradas por defecto, aunque el cifrado no es de extremo a extremo. La información se va a desencriptar siempre en el servidor que aloje la conversación, por lo que tendrás la posibilidad de conformarte con esto o de alojar tú la videollamada para que la privacidad dependa únicamente de ti.