El ciberespionaje ha aumentado drásticamente en los últimos años y es la principal ciberamenaza del próximo año. La consultora PwC, en su estudio ‘Economic impact of trade secrets thefts’, estima que, a causa del espionaje industrial, las compañías de todo el mundo pierden cada año hasta tres billones de euros, el equivalente del 5% del PIB mundial.
La información que se intercambia durante una videoconferencia suele ser confidencial y estratégica, por lo que debe estar absolutamente protegida contra cualquier riesgo de espionaje, aún así la seguridad de las videoconferencias se descuida por completo en la actualidad.
Los sistemas de videoconferencia tradicionales son un objetivo habitual de ataques informáticos, principalmente a través de los protocolos SIP o H.323.
Las empresas que quieren protegerse de estos riesgos limitan el uso de las videoconferencias o aíslan la herramienta de comunicación a una red privada. Esta estrategia puede ser efectiva para la comunicación interna, pero tiene la enorme desventaja de limitar el alcance de estas soluciones, pues excluye a los usuarios que no tengan a esta red privada (clientes, proveedores, colaboradores externos, etc).
El impacto de una solución de videoconferencia en la seguridad de la red y de los sistemas informáticos se pasa por alto con mucha frecuencia.
Muchas soluciones requieren un debilitamiento considerable de la seguridad, con consecuencias que pueden ser muy graves.
He aquí algunos elementos que pueden afectar a la seguridad:
• Apertura de puertos: los sistemas de videoconferencia tradicionales basados en protocolos H.323 requieren la apertura de puertos de red, no sólo en el propio sistema, sino también en su infraestructura de red. Este es un riego importante, ya que cada puerto abierto es un posible punto de acceso malicioso a su información por parte de los ciberdelincuentes.
• Cifrado de las comunicaciones en entorno multipunto: los sistemas de videoconferencia tradicionales basados en protocolos H.323/SIP mezclan y descifran los flujos de audio, vídeo y datos al pasar por el servidor (unidad central multipunto) antes de enviarlos de vuelta a los participantes. Un cifrado real de extremo a extremo (de cliente a cliente) además el cifrado de cliente a servidor es crucial para poder prevenir un ataque informático.
• Riesgo de ataques de robots: Muchas aplicaciones de software de robots utilizan los protocolos SIP y H.323 para identificar y atacar sistemas que utilizan estos protocolos. Este riesgo aumenta aún más cuando un dispositivo está en modo de respuesta automática.
• Comprobación de la cadena de certificación: En el contexto de una reunión externa, los flujos de comunicación atravesarán muchos equipos (router, proxy…) que no pueden ser controlados. Si la cadena de certificación no se verifica adecuadamente, los flujos pueden descifrarse inyectando un falso certificado raíz o intermedio. La mayoría de los terminales H.323 / SIP no realizan esta comprobación.
• Acceso seguro a las reuniones: Si los invitados no tienen que autenticarse con usuario y contraseña cifrada e irreversible, puede que aparezca algún “invitado sorpresa”, lo que es habitual en los software en los que se accede únicamente a través de un enlace compartido además de forma pública.
• Backdoors: Los gobiernos de algunos países exigen a sus fabricantes de software que proporcionen capacidades de escucha (backdoor o puerta trasera). Esta puerta trasera en un sistema de videoconferencia puede proporcionar acceso a los datos almacenados (registros de llamadas, listas de destinatarios, etc.) pero también a las propias comunicaciones (comunicaciones de voz, vídeos, documentos compartidos, etc). El riesgo asociado a la implementación de una solución con este tipo de puerta trasera es doble, no solo el Estado en cuestión puede tener acceso a ella (con fines de patriotismo económico), sino también un competidor que ha contratado a un hacker (una puerta trasera es un vacío legal). Más del 90% de las soluciones de videoconferencia son estadounidenses y están sujetas a la US Patriot Act (ley patriótica). Este problema de escuchas se ha enfatizado después de las revelaciones de E. Snowden en 2013 (grabación de videollamadas SkypeTM en el programa PRISM). Además, no se limita sólo a los EEUU, empresas de otros países desarrollados como China o Rusia se ven limitadas por normativas similares.
Ante tal situación es importante escoger un proveedor de videoconferencia europeo que no esté sometido a ninguna ley que afecte a la seguridad de la empresa y cuya tecnología garantice el cifrado real de las comunicaciones al pasar por el servidor. Otro consejo es comprobar si el proveedor de videoconferencia tiene alguna cualificación o certificación por parte de un organismo oficial que avale la seguridad de los sistemas de información, como el CCN en España o la ANSSI en Francia.