Volver

Seguridad en reuniones virtuales

Las herramientas para realizar reuniones virtuales han ganado un impulso considerable como resultado de las medidas de aislamiento tomadas en diferentes países. Sin embargo, la alta adopción de estas herramientas y el uso continuo por parte de los usuarios permite inferir que en el futuro su uso se extenderá a actividades que se encontraban limitadas por la presencialidad. Para que esto ocurra, es necesario que se cumplan ciertos servicios de seguridad como la confidencialidad y la autenticación, por lo cual empresas dedicadas a este tipo de herramientas se han visto obligadas a mejorar la seguridad en sus productos. En este documento profundizamos en algunos servicios de seguridad orientados a las videoconferencias y los servicios que de ellas se derivan.    

El crecimiento en la adopción de las herramientas de videoconferencia está directamente relacionado con el aislamiento adoptado en diferentes países. Herramientas como Microsoft Teams, Zoom, o Cisco Webex, crecieron su número de usuarios entre marzo y junio de 2020 en 894%, 677% y 451% respectivamente, es decir en sólo 3 meses [TRE2020]. La adopción de este tipo de plataformas ha llegado incluso a opacar aquellas diseñadas para el entretenimiento, como TikTok, que fue desplazado al segundo lugar de descargas después de Zoom en la Apple Store en el segundo trimestre de 2020 [MAC2020].  Debido a este éxito, también se ha empezado a cuestionar la seguridad que ofrecen estas plataformas, y esta desconfianza del público se ha visto reforzada por fallas de seguridad que se han hecho públicas, como lo ocurrido con Teams [CYB2020] o Zoom [INT2020]. 

Pero el uso de estas plataformas no se limita al de reuniones virtuales para teletrabajo, ya que la capacidad de interactuar de manera remota permite acceder a diferentes servicios que se hacen actualmente de manera presencial, evitando desplazamientos innecesarios y mejorando la experiencia de los usuarios. Este tipo de servicios son los que se mantendrán una vez se supere el aislamiento, aunque su éxito depende de lo bien que aprendan a enfrentar las necesidades de privacidad y seguridad que tienen los usuarios. 

Privacidad y seguridad en videollamadas 

Como cualquier tipo de herramienta digital, las videollamadas han despertado el interés de diferentes grupos dedicados a defender la privacidad de los usuarios, y estos últimos muchas veces no están en la capacidad de evaluar el nivel de seguridad de estas herramientas. Así mismo, las empresas que han adoptado las plataformas de videoconferencias para sustituir las comunicaciones presenciales necesitan tener un mayor conocimiento de ellas para tomar las medidas necesarias que les permitan mitigar riesgos. Por lo tanto, es necesario que las empresas indiquen claramente a los empleados cuales son las políticas que rigen el uso de este tipo de herramientas, de tal manera que puedan proteger sus datos personales o sensibles, como pueden ser los datos biométricos basados en rasgos faciales [REC2020a]. Así mismo, esto puede mitigar el riesgo de fuga de información de valor para la empresa. Por otro lado, se hace importante conocer de qué manera se tratan los datos recopilados por las plataformas de videollamadas, lo cual se puede ver reflejado en su política de protección de datos y en sus términos de uso, considerando especialmente la legislación relevante, ya que esta puede variar según el país, que puede ser uno ajeno a donde se encuentra el usuario [REC2020b][REC2020c]. Como se mencionó anteriormente, muchas veces los usuarios no conocen como evaluar la idoneidad de una plataforma para un uso específico. Por lo tanto, a continuación describiremos algunos servicios de seguridad en el contexto de las videollamadas y cómo las diferentes plataformas los han abordado. 

Servicios de seguridad 

Uno de los elementos que genera mayor inquietud en los usuarios, es si la información que están intercambiando es realmente privada, es decir, si sólo aquellos que hacen parte de la reunión pueden acceder a esta información. Esto se relaciona con el servicio de seguridad denominado confidencialidad, el cual se garantiza por medio de herramientas de cifrado. Sin embargo, ha existido cierta confusión con respecto al cifrado, especialmente por el aviso de Zoom respecto a su oferta de cifrado extremo a extremo o end-to-end. Por medio del cifrado es posible garantizar que sólo aquellos que poseen una clave, puedan acceder adecuadamente a la información. Es decir que si un tercero pudiera acceder a los datos que se intercambian en una videollamada, este no la podría comprender sin la clave debido al proceso de cifrado. Sin embargo, la comunicación entre dos dispositivos no se da de manera directa, es decir, esta pasa previamente por diferentes enrutadores, o servidores, donde es posible que se de un proceso de descifrado, abriendo la posibilidad de que un tercero lea dicha información. El cifrado que sólo se descifra entre los dos dispositivos que se comunican se denomina cifrado extremo a extremo, y es deseable para mantener la confidencialidad de la comunicación. La empresa Zoom, manifestó en junio de 2020 que sólo iba a ofrecer el cifrado extremo a extremo para sus usuarios pagos, lo cual generó una ola de indignación debido a la posible invasión de privacidad que esto generaría entre sus usuarios gratuitos. La justificación de la empresa se basaba en que no accedía directamente a las comunicaciones, sino a metadatos, e incluso que el descifrado de las comunicaciones en sus servidores servía para ayudar a agencias de seguridad.  Posteriormente a dicho anuncio y al rechazo de la comunidad, la empresa se vio obligada a corregir y ofrecer el cifrado extremo a extremo a todos sus usuarios, algo que servicios como whatsapp ya venían ofreciendo desde el año 2017 [DIN2020].   

Adicionalmente, en un ambiente no presencial existe la duda de si aquellos que hacen parte de la reunión son quienes deberían estar. Para poder asegurar esto, es necesario que los usuarios que se conecten a una reunión ofrezcan las credenciales necesarias que indiquen que son quién dicen ser. Esto se relaciona con el servicio de seguridad de autenticación, y generalmente se ofrece por medio de una clave o  password. Es decir, que se considera que aquellos que tengan dicha clave (la cual se comparte generalmente por medio de un correo electrónico) deberían poder acceder a dicha reunión. Adicionalmente, el uso de claves de acceso a las sesiones no evita su compartición, permitiendo que una persona asista a la sesión en nombre de otra. También es posible garantizar la identidad de los participantes por medio de la dirección de correo a la cual se envió la invitación. Sin embargo, esta identidad está mas relacionada con el dispositivo electrónico que se conecta, o la cuenta, y no necesariamente con la persona. Por lo tanto, se abre la posibilidad de que personas ajenas a la reunión se hagan pasar por una persona autorizada o que accedan a información privilegiada. En algunos sistemas esta autenticación se obtiene por medio de certificados instalados en el dispositivo con el cual se accede a la sesión, y el control de dichos certificados se da por medio de una clave . Esto sin embargo trae todos los riesgos asociados al uso de claves, además de una experiencia de usuario pobre. Otro tipo de solución es las que ofrece Meeting ID [RID2020d], en la cual por medio del reconocimiento facial se puede establecer la identidad de una persona y su participación en tiempo real.  

Aplicaciones basadas en videollamadas 

Si bien actualmente las plataformas de videollamadas se centran en reemplazar las reuniones que se daban en ambientes laborales debido a la implementación de las medidas de aislamiento, dichas plataformas tienen el potencial de convertirse en un elemento fundamental para la transformación digital, especialmente en aquellos procesos que requieren el desplazamiento del usuario a un lugar específico para una atención personalizada. Por ejemplo, por seguridad, en el sector financiero europeo es necesario que se haga una grabación o entrevista virtual cuando un usuario desea abrir una cuenta bancaria de manera no presencial, o incluso en el sector Fintech, lo cual potenció la adopción de estos servicios en países como Alemania. Este tipo de procesos se pueden ofrecer gracias al uso de autenticación biométrica. 

Algo similar se puede esperar en la interacción del ciudadano con el estado, donde el usuario usualmente penaliza mas fuertemente las experiencias que generan fricción. Basado en los esfuerzos que está realizando el MinTIC para el establecimiento de servicios ciudadanos digitales [RID2020e], el uso de plataformas de videollamadas aceleraría la adopción de servicios ciudadanos digitales especiales, al evitar los desplazamientos y las incomodidades asociadas a estos. Por ejemplo, por medio de videollamadas, y de un adecuado proceso de autenticación remota, sería posible acelerar los procesos de formalización de pensión o de entrega de medicamentos, que suelen afectar a las personas con mayor resistencia a desplazarse. Así mismo, en reuniones donde se requiere garantizar un quorum, o realizar votaciones, la autenticación puede servir como garantía de asistencia y prueba para futuros procesos de auditoría. 

Conclusiones 

El uso de plataformas de videollamadas se ha incrementado debido al aislamiento generado por la pandemia del COVID-19. Como resultado de esto, los usuarios se han naturalizado con estas herramientas, permitiendo su uso en otro tipo de escenarios. Sin embargo, es necesario comprender los riesgos asociados a su uso para escoger la herramienta adecuada, y las soluciones que garantizan que se cumplan los servicios de confidencialidad y autenticación.  

Diego Pacheco-Páramo 

Bibliografía 

[TRE2020] Zoom losing to Teams in the video conference race to the top. Junio 2020. TechRepublic. https://www.techrepublic.com/article/zoom-losing-to-teams-in-the-video-conference-race-to-the-top/ 

[MAC2020] Zoom shattered App Store record in Q2; US overtook China in app downloads. Julio 2020. https://9to5mac.com/2020/07/17/app-store-record/ 

[CYB2020] Beware of the GIF: Account Takeover Vulnerability in Microsoft Teams.  Abril 2020. https://www.cyberark.com/resources/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams 

[INT2020] Zoom meetings aren’t end-to-end encrypted despite misleading marketing . Marzo 2020. https://theintercept.com/2020/03/31/zoom-meeting-encryption/ 

[REC2020a] Datos sensibles: ¿qué son? ¿cómo los define la ley?. Nicolas Spijkers. https://reconoserid.com/stagingv3/datos-sensibles-que-son-como-los-define-la-ley/ 

[REC2020b] California Consumer Privacy Act o CCPA. ¿Cómo impacta a los consumidores en otros países? Nicolas Spijkers. https://reconoserid.com/stagingv3/datos-sensibles-que-son-como-los-define-la-ley/ 

[REC2020c] Leyes de protección de datos personales: GDPR y América Latina Nicolas Spijkers. https://reconoserid.com/stagingv3/leyes-de-proteccion-de-datos-personales-gdpr-y-america-latina/ 

[DIN2017] Whatsapp End to End Encryption Demystified, 2017. R. Siles. Dinosec. 

[REC2020d] ReconoSER ID lanza Meeting ID, integración con Zoom que promete recobrar la confianza en las reuniones virtuales. https://reconoserid.com/stagingv3/reconoser-id-lanza-meeting-id-integracion-con-zoom-que-promete-recobrar-la-confianza-en-las-reuniones-virtuales/ 

[REC2020e] Servicios Ciudadanos Digitales y la transformación digital en Colombia https://reconoserid.com/stagingv3/servicios-ciudadanos-digitales-y-la-transformacion-digital-en-colombia/