¿Qué tan inseguras son las videollamadas?

  • Vulnerabilidades y recomendaciones

@IIsraelBarajas

A partir del uso intensivo de plataformas de videollamada debido a las declaraciones de contingencia y emergencia sanitaria en los diferentes países del mundo, se intensificó el descubrimiento de vulnerabilidades que afectan la privacidad de los usuarios, incluyendo la posibilidad de robo de información y los delitos que pueden cometerse a partir de este robo, como la extorsión en sus diferentes modalidades.

La plataforma Zoom ha estado en el ojo mediático de muchas de las críticas, probablemente debido a que también es una de las plataformas cuyo incremento en usuarios fue exponencial. Mientras que antes de todo el fenómeno del COVID-19 presentaba un promedio de 10 millones de usuarios al día, en Abril alcanzaba la asombrosa cantidad de 200 millones de usuarios diariamente.

Algunas otras plataformas como WhatsApp, Hangouts, Facebook Messenger o Google, han habilitado opciones para videoconferencias que pueden conectar hasta a 50 usuarios, aprovechando la lluvia de críticas a las vulnerabilidades de Zoom.

Ante esto, la plataforma Zoom ha emitido un despliegue de 90 días en la que todos sus ingenieros trabajan dedicados al 100% en descubrir y corregir vulnerabilidades, mejorando la seguridad informática del producto.

Sin embargo, ¿debemos solamente cuidarnos de la plataforma Zoom y utilizar, sin ningún tipo de riesgo, todas las demás plataformas? Parece ser que no.

El Equipo de Respuesta ante Incidentes de Seguridad Informática del gobierno ha publicado varios documentos al respecto y en el Informe de aplicaciones para videoconferencia señala las vulnerabilidades de diversas plataformas:

a) Hangouts, presenta vulnerabilidades asociadas al sistema operativo Android que es su soporte principal. Esta versión es considerada para comunicaciones del tipo hogar. La versión empresarial de este proveedor se denomina “Google Hangout Meet”.
b) Jitsi, presenta solo una vulnerabilidad CVE registrada en 2017.
c) ooVoo, presenta solo una vulnerabilidad CVE registrada en 2009.
d) Zoom Meeting, presenta 5 vulnerabilidades registradas como CVE que dé nos estar mitigadas en la versión utilizada pueden comprometer la seguridad de la información.
e) GoToMeeting, presenta solo una vulnerabilidad CVE registrada en 2014.
f) Microsof Skype, presenta 6 vulnerabilidades CVE en versiones anteriores o iguales a 2017.
g) Microsoft Team, no presenta vulnerabilidades CVE registradas a la fecha. Es un producto de rango empresarial para establecer teleconferencias y trabajo colaborativo.
h) Webex, presenta 9 vulnerabilidades CVE registradas para versiones anteriores o iguales a 2017.

A la fecha, no existen herramientas sin vulnerabilidades, en todos los softwares han existido y en todas ellas se han subsanados. No hay vigentes vulnerabilidades críticas que no hayan sido subsanadas. De existir nuevas vulnerabilidades, en las principales herramientas utilizadas, siempre hay empresas con rápidos tiempos de respuesta para subsanarlas y sacar nuevas versiones seguras. El CSIRT añade que no prohíbe el uso de ninguna plataforma en particular sino que emite recomendaciones para el correcto uso conforme a las necesidades del usuario. Es por esto que desde iMx sugerimos seguir las indicaciones del INAI para el uso de todas las plataformas de videollamadas las cuales puedes encontrar aquí.

Related Posts

Aprender para controlar el entorno digital
Decisiones difíciles en Tokio 2020: Juegos Olímpicos sin espectadores
La censura como herramienta pública y digital: Donal Trump

Leave a Reply