Solución segura videoconferencia: el riego de ciberespionaje nunca había sido tan importante

  • El ciberespionaje se dispara un 60% en 2017 causando pérdidas de 3 billones de euros, equivalente al 5% del PIB mundial [1]
  • El Centro Criptológico Nacional, adscrito al CNI, ha detectado durante la primera mitad de año una media de 3000 ciberincidentes al mes, encabezados por el espionaje virtual [2]
  • El pasado año, en España se dieron 81.307 ciberdelitos, según datos del Observatorio Español de Delitos Informáticos, OEDI [3]
  • El cibrecrimen tiene un coste anual de 600.000 millones de dólares, unos 520.000 millones de euros, a nivel mundial, según un estudio de McAfee y el Centro de Estudios Estratégicos e Internacionales (CSIS en inglés)
  • Recuperarse de un ciberataque cuesta una media de 300 000 € a una empresa con 1 000 empleados o menos, y hasta 1,3 millones de euros a una empresa con más de 5 000 empleados (Le rapport Risk: Value 2016 – NTT Com Security)

La información que se intercambia durante una videoconferencia suele ser confidencial y estratégica, por lo que debe estar absolutamente protegida contra cualquier riesgo de espionaje, aún así la seguridad de las videoconferencias se descuida por completo en la actualidad. Los sistemas de videoconferencia tradicionales son un objetivo habitual de ataques informáticos, principalmente a través de los protocolos SIP o H.323.

Impacto de las videoconferencias en la seguridad informática

El impacto de una solución de videoconferencia en la seguridad de la red y de los sistemas informáticos se pasa por alto con mucha frecuencia. Muchas soluciones requieren un debilitamiento considerable de la seguridad, con consecuencias que pueden ser muy graves.

He aquí algunos elementos que pueden debilitar la seguridad informática sobre los cuales los fabricantes de soluciones de videoconferencias no suelen dar mucha información:

  • Apertura de puertos (necesaria en los sistemas de videoconferencia tradicionales basados en protocolos H.323): Cualquier apertura de puerto aumenta la superficie de ataque y puede considerarse como un riesgo de intrusión.
  • Riesgo de ataques de robots: Muchas aplicaciones de software de robots utilizan los protocolos SIP y H.323 para identificar y atacar sistemas que utilizan estos protocolos. Este riesgo aumenta aún más cuando un dispositivo está en modo de respuesta automática.
  • Alojamiento de servicios: ¿los datos transitarán fuera de la red de la empresa? ¿están en la nube? ¿es una nube soberana? En el caso del acceso a recursos internos (directorios, almacenamiento, mensajería…) ¿es seguro? La Cloud Act (ley de la nube) permite al gobierno de EEUU y de otros países acceder a toda la información almacenada en la nube por empresas americanas independientemente de donde tengan su servidor. Si tu solución de videoconferencia es americana y su servidor está en la nube estás exponiendo información confindencial de tu empresa.
  • Cifrado de las comunicaciones de audio, vídeo y datos en videoconferencias multipunto (más de 2 participantes): los sistemas de vídeoconferencia tradicionales basados en protocolos H.323/SIP descifran los flujos de una reunión al pasar por una MCU (unidad central multipunto) antes de enviarlos de vuelta a los participantes. Un cifrado de extremo a extremo (de cliente a cliente) es crucial para prevenir un ataque informático. No existe ninguna tecnología disponible que ofrezca una verdadera protección de las comunicaciones con cifrado de extremo a extremo en un contexto de videoconferencia multipunto salvo Tixeo.
  • ¿Se comprueba la cadena de certificación?: En el contexto de una reunión externa, los flujos de comunicación atravesarán muchos equipos (router, proxy…) que no pueden ser controlados. Si la cadena de certificación no se verifica adecuadamente, los flujos pueden descifrarse inyectando un falso certificado raíz o intermedio. La mayoría de los terminales H.323 / SIP no realizan esta comprobación.
  • ¿el acceso a las reuniones es seguro?: Si los invitados no tienen que autenticarse con usuario y contraseña cifrada e irreversible, puede que aparezca algún «invitado sorpresa», lo que es habitual en los software en los que se accede únicamente a través de un enlace.

Puertas traseras (backdoors) y capacidades de escucha

Algunos estados requieren que las compañías implementen capacidades de escucha en sus soluciones, la mayoría de las veces en forma de puerta trasera o backdoor.

Esta puerta trasera de un sistema de videoconferencia puede proporcionar acceso a los datos almacenados (registros de llamadas, listas de destinatarios, etc.), pero también a las propias comunicaciones (comunicaciones de voz, vídeos, documentos compartidos, etc.).

El riesgo asociado a la implementación de una solución con este tipo de puerta trasera es doble, no sólo el Estado en cuestión puede tener acceso a ella (con fines de patriotismo económico), sino también un competidor que ha contratado a un hacker (una puerta trasera es un vacío legal).

Más del 90% de las soluciones de videoconferencia son estadounidenses y están sujetas a la USA Patriot Act, que les exige tener capacidad de escucha, independientemente de que se utilicen o no en territorio estadounidense.

Este problema de escuchas se ha enfatizado después de las revelaciones de E. Snowden en 2013 (grabación de videollamadas SkypeTM en el programa PRISM). Además no se limita sólo a los EE.UU., empresas de otros países desarrollados como China o Rusia se ven limitadas por normativas similares. No existe ninguna oferta soberana con una tecnología completamente europea salvo Tixeo.

Tixeo es la única solución segura de videoconferencia multipunto y colaboración online

Tixeo lleva más de 14 años diseñando soluciones de videoconferencia innovadoras caracterizadas por su seguridad, calidad, funcionalidad, interoperabilidad y sencillez.

Su solución de videoconferencia segura está basada en un conjunto de mecanismos innovadores que ofrecen un nivel de seguridad sin precedentes para las reuniones online:

  • Cifrado de extremo a extremo (de cliente a cliente) de las comunicaciones de audio, vídeo, chat y datos en videoconferencias multipunto, este cifrado end-to-end permite un nivel de seguridad nunca alcanzado hasta ahora para las comunicaciones multipunto, ya que incluso en caso de ataque al servidor Tixeo, la confidencialidad de las comunicaciones está garantizada
  • Cifrado de enlaces para la comunicación entre el cliente y el servidor (cifrado AES 256 con claves efímeras intecambiadas con Diffie-Hellman)
  • Verificación completa de la cadena de certificación, evitando así cualquier ataque por inyección de certificados
  • Sin necesidad de abrir puertos por lo que la política de seguridad de la red no se ve afectada, con el protocolo Tixeo, todas las comunicaciones de audio, vídeo y datos se encapsulan en un único flujo, se identifican claramente en la red y se transmiten a través del protocolo estándar de comunicación web segura (https).
  • No se ha instalado ninguna capacidad de escucha, sin puertas traseras (backdoors), el diseño y desarrollo de su software se realiza exclusivamente en Francia por lo que al ser una empresa europea no está sometida a ninguna ley como la US Patriot Act, Cloud Act, etc
  • Partición de reuniones: cada reunión se ejecuta en un proceso separado en el servidor, lo que garantiza la estanqueidad de datos de una reunión a la siguiente
  • Acceso seguro a las reuniones con usuario y contraseña (cifrada e irreversible) evitando así que aparezca un invitado sorpresa en la reunión
  • No se requieren derechos del administrador, esto facilita enormemente el despliegue de las soluciones Tixeo en toda la infraestructura informática de la empresa
  • La seguridad a todos los niveles se tiene en cuenta desde su concepción: Secure by design
  • Software firmado de forma digital, lo que garantiza su autenticidad e integridad
  • Gestión de los derechos de usuarios, sólo el moderador tiene todos los derechos de la reunión y puede conceder derechos de moderación a otro participante
  • Se requiere autorización para compartir y controlar el escritorio y se puede optar por compartir sólo una aplicación o documento que será la única parte visible de la pantalla para el resto de participantes
cifrado-con-la-videoconferencia-segura-tixeo

Tixeo es la única solución de videoconferencia que ha recibido el 04 de marzo de 2017 de la Agencia Nacional francesa para la Seguridad de los Sistemas de Información (ANSSI) el Visado de Seguridad para la Cualificación a nivel elemental y la Certificación CSPN de su producto Tixeo Server versión 11.5.2.0 (decisión de cualificación n°1606).

Calidad Tixeo

La videoconferencia segura de Tixeo ha sido diseñada para cumplir con las más altas exigencias de calidad de sus clientes. Las reuniones se pueden mostrar en alta definición (ultra HD/4K) y disfrutar de un sonido de alta calidad. Para garantizar la estabilidad de las comunicaciones los ingenieros de Tixeo han desarrollado la tecnología SVC on Demand teniendo en cuenta la calidad de las redes, el rendimiento de su CPU y el tamaño de las ventanas de sus contactos.

Colaboración NextGen

Tixeo hace que el trabajo de los empleados sea más fácil y productivo ofreciendo una amplia gama de herramientas que facilitan el teletrabajo y el trabajo en equipo:

  • Uso compartido de aplicaciones y pantallas
  • Autorizar a otro participante al control remoto del ordenador
  • Transferencia de archivos cifrados de extremo a extremo
  • Grabación de reuniones y transmisión en directo
  • Gestión de derechos de los participantes
  • Chat y mensajería corporativa integrada
  • Notificación de presencia
  • Organización de reuniones de forma rápida y sencilla
  • Envío automático de invitaciones

Universalidad e interoperabilidad de Tixeo

TixeoGateway permite una perfecta interoperabilidad con los sistemas de videoconferencia tradicionales H.323 / SIP (llamadas entrantes y salientes), sin necesidad de abrir ningún puerto. Este módulo también soporta el estándar H.239 que permite a los usuarios de estos sistemas tradicionales compartir contenidos en una reunión Tixeo. La solución está disponible en Windows, macOS, Linux, iOS y Android.

La solución está disponible en la nube, en servidor interno o en servidor dedicado en la nube (TixeoCloud, TixeoServer y TixeoPrivateCloud respectivamente). Tixeo además ofrece la opción llave en mano con TixeoRoom, ofreciendo además del software, la posibilidad de equipar nuevas salas y reduciendo los gastos de instalación y gestión asociados a los equipos propietarios.

Para probar la solución de forma gratuita durante 30 días, puede visitar:
https://www.tixeo.com/videoconferencia-segura/soluciones/tixeocloud/prueba/

 

La Vanguardia El robo de los secretos comerciales causa pérdidas de 3 billones de euros

La Vanguardia El CNI detecta 3.000 ciberincidentes al mes y centra su preocupación en el espionaje virtual y la guerra híbrida

La Vanguardia Las empresas se olvidan de defenderse contra el cibercrimen

Contacto de prensa Tixeo Spain

Calle Serrano, 90, 6° – 28006 Madrid – ESPAÑA

Tel: +34 912 69 45 05

spain@tixeo.com