El «zoombombing» sigue siendo una realidad e interrumpe reuniones en línea cada vez más estratégicas, a menudo con fines malintencionados. Para evitarlo, hay que maximizar la seguridad de las videoconferencias a todos los niveles.
¿Qué es el «zoombombing»?
El «zoombombing» es una intrusión no deseada en una reunión en línea. Durante la crisis sanitaria y el confinamiento, el uso masivo y repentino de la videoconferencia hizo que proliferase este fenómeno. El «zoombombing» debe su nombre al gran número de intrusiones de personas malintencionadas durante las videoconferencias a través de Zoom.
De hecho, los intrusos pueden tener diferentes objetivos al unirse a una videoconferencia, desde la simple interrupción de la reunión hasta la obtención de información sensible como los nombres de los participantes, el propósito de la reunión, los documentos o las pantallas compartidos, etc.
Graves consecuencias para las organizaciones
Un intruso en una videoconferencia no solo perturba el desarrollo de la reunión. También representa un peligro para la confidencialidad de la información intercambiada.
En su último boletín sobre los riesgos vinculados a las videoconferencias, la Dirección General de Seguridad Interior (DGSI) cita el ejemplo de una intrusión en una videoconferencia de una empresa para difundir mensajes de carácter terrorista. ¿A qué se debió? No había ningún control sobre el acceso a la reunión en línea: la inscripción era gratuita y la contraseña de la aplicación tenía un nivel de seguridad muy bajo.
Del mismo modo, recientemente se canceló una videoconferencia de la Reserva Federal tras la aparición de imágenes pornográfica difundidas por un participante anónimo en la reunión. En esta reunión en línea estaban presentes alrededor de cien representantes de los principales bancos estadounidenses. Una interrupción que crea el riesgo de robo de datos y empaña la reputación de la organización.
Imprescindible: la seguridad del software de videoconferencia utilizado
Estas intrusiones pueden evitarse si el software de videoconferencia utilizado es «Secure by design». Este principio consiste en diseñar un software teniendo en cuenta las nociones de seguridad desde las primeras etapas de su diseño, con el fin de prevenir los riesgos de violación de la seguridad.
Así, el acceso al software y sus funciones se somete a un estricto análisis desde el momento de su creación. De este modo, tan pronto como se descubre una vulnerabilidad, se corrige inmediatamente antes de poner en marcha el software.
El cifrado de extremo a extremo
Para las videoconferencias, el cifrado de extremo a extremo es uno de los criterios de seguridad esenciales. Este sistema de transmisión de datos (audio, vídeo y datos) garantiza la total confidencialidad de las comunicaciones. En efecto, solo el emisor y el o los destinatarios pueden descifrar los datos intercambiados, sin que exista ninguna fase de descifrado entre ellos.
Por lo tanto, resulta imposible escuchar o espiar una videoconferencia cifrada de extremo a extremo desde fuera de la reunión. Por consiguiente, el cifrado de extremo a extremo dificulta la intrusión en una reunión en línea.
El papel clave del organizador de la videoconferencia
La seguridad del software de videoconferencia constituye una primera barrera contra las intrusiones.
No obstante, para garantizar la máxima protección, es importante que el organizador de la reunión pueda:
- gestionar fácilmente a los participantes y excluir en cualquier momento a un participante no deseado;
- moderar los turnos de palabra en la reunión;
- adaptar el nivel de seguridad en función del carácter sensible de la reunión.
Control del acceso a las reuniones en línea
Cuando se comparte un enlace de conexión a una videoconferencia, algunos invitados no deseados tienen la posibilidad de conectarse y acceder directamente a la reunión.
Con Tixeo, si alguien hace clic en un enlace de conexión de videoconferencia, indica su nombre y accede a una sala de espera. El organizador recibe paralelamente una notificación de esta solicitud de acceso y puede decidir si deja o no participar a esta persona.
Del mismo modo, en cualquier momento de la reunión en línea, el organizador puede excluir a un participante si considera que es sospechoso.
Gestión de los derechos de los participantes
Hasta que todos los participantes en la videoconferencia estén reunidos, es preferible que solo el organizador tenga el micrófono abierto. Así se evitan los ruidos parásitos asociados a la llegada de cada participante, y se evita el riesgo de que un intruso tome la palabra y llame la atención.
El organizador también puede pedir a cada participante que active su cámara web, para que no haya ninguna duda sobre los interlocutores presentes, como recomienda la DGSI.
Elegir un nivel de seguridad adaptado
Tixeo permite al organizador elegir un nivel de seguridad mayor o menor en función del carácter sensible de la videoconferencia.
De este modo, con un nivel de seguridad estándar, será posible compartir un enlace a la reunión y conectarse a ella desde un navegador web, por ejemplo.
Con un nivel de seguridad máximo, los participantes tendrán que crear una cuenta de usuario y conectarse a la reunión en línea desde el software.
Videoconferencia segura
Tixeo es la única solución francesa de videoconferencia segura que cuenta con la certificación y la acreditación de la Agencia Francesa de Seguridad de los Sistemas de Información (ANSSI).
Tixeo está registrada en el catálogo de empresas y soluciones de ciberseguridad de INCIBE.
Evitar compartir información en una reunión en línea
Por último, a veces se comparte inadvertidamente información sobre una videoconferencia.
Por ejemplo, en las agendas compartidas, donde se puede acceder a la lista de participantes, el propósito de la reunión o el enlace de inicio de sesión. Pero también ocurre que se publican en las redes sociales fotos de salas de reuniones con una videoconferencia en curso, a pesar de que en la pantalla se ve el nombre de la red o las claves de acceso.
Hay que extremar la vigilancia al compartir este tipo de información, ya que puede dar lugar a intrusiones.
Tixeo, el software de videoconferencia Secure by Design, integra la seguridad en el diseño de su solución. Su tecnología de cifrado de extremo a extremo protege las comunicaciones, independientemente del número de participantes en la videoconferencia.