El Departamento de Políticas Digitales y Administración Pública ha dado a conocer un estudio comparativo de las características funcionales y de seguridad de varias herramientas de videoconferencia existentes, con el objetivo de facilitar a las usuarias y usuarios particulares y profesionales la elección de aquellas que más se adecuen a sus necesidades.
El análisis ha sido elaborado por elAgencia de Ciberseguridad de Cataluña yo la Fundación i2CAT con la voluntad de dar respuesta al crecimiento en el uso de aplicaciones de videoconferencia por parte de las usuarias y usuarios a raíz de la situación de pandemia y servir de orientación a la hora de escoger las y usarlas de una forma segura.
Un dato muy destacable es el notable incremento del número de participantes diarios en reuniones de Zoom, de 10 millones en diciembre de 2019 en 300 millones en abril-mayo de 2020, o de Teams, el cual ha contabilizado unos 200 millones con un incremento del 70% de usuarios registrados.
El estudio examina doce soluciones de videoconferencia entre ellas Facebook Messenger, Instagram, Skype, WhatsApp, Cisco Webex, Google Meet, GoToMeeting, Microsoft Teams o Zoom.
Le informa ‘Análisis funcional y de seguridad de herramientas para videoconferencia‘Pretende ser un punto de partida para entender las diferencias y características de cada una de las plataformas analizadas, además de ofrecer buenas prácticas de uso y de seguridad que pueden servir a la ciudadanía, empresas y organizaciones para decidir qué proveedor es el más adecuado para cada caso.
Cabe decir que muchas de las herramientas analizadas son privativas y, por tanto, se enmarcan dentro de una lógica capitalista donde aspectos como el beneficio que puede reportar la monetización de los datos de las personas usuarias confronta con la máxima de la seguridad digital . Si queremos proteger nuestros datos vale la pena que nos planteamos el uso de herramientas de código libre, las cuales, parten de un código ético para garantizar al máximo la protección de nuestros datos. Algunos ejemplos son: jitsi, bigbluebutton, linphone, SiguienteCloudTalk I OpenVidu, Entre otros.
A continuación se muestran las características que, en materia de ciberseguridad y privacidad, tienen las diferentes aplicaciones de videoconferencia analizadas:
conceptos clave
A continuación esclarecido algunos conceptos:
Cifrado E2E: es un cifrado de extremo a extremo (E2E) puro, los equipos terminales son los encargados de hacer el cifrado y el descifrado de la comunicación de forma que se evita que un tercero pueda interceder en ella. El cifrado E2E se califica como parcial cuando sólo los datos en tránsito están cifrados, o sea, entre los usuarios y el proveedor, pero este último las descifra para el procesamiento interno en sus servidores o infraestructura en la nube.
Control de entrada a la videoconferencia: Un factor de autenticación (1F) significa que el entrada a la aplicación vendrá determinado por un usuario y una contraseña. El riesgo de esta opción es que, en caso de robo de las credenciales, un tercero podría utilizarlas para hacer un uso ilegítimo de la cuenta del usuario, podría ceder a su información de contactos, convocar videoconferencias en nombre sede, etc. Dos factores de autenticación (2F) significa que, además del usuario y la contraseña, existe la posibilidad de habilitar otros factores para asegurarse de que sólo el usuario legítimo puede ceder a la aplicación. Pueden ser un control a través de la identificación del dispositivo o de la IP, la validación a través de SMS, la huella digital, etc.
Privacidad: Las aplicaciones de videoconferencia ofertas a los ciudadanos de la UE deben cumplir con el Reglamento general de protección de datos y, a pesar de que recopilan datos básicos para su funcionamiento, deben proteger los datos personales. Sin embargo, de acuerdo con la política de cada aplicación, los datos personales se pueden utilizar para fines que van más allá de la mejora de la aplicación, como por ejemplo los usos destinados al merchandising, lo que puede comprometer la privacidad del usuario. Teniendo presente que muchas aplicaciones son gratuitas o disponen de versiones sin coste, el proveedor hará uso de los datos obtenidos de sus usuarios para la obtención de un beneficio comercial. La privacidad es considera moderada, si se hace uso de los datos personales y la navegación del usuario para fines comerciales o de marketing, aunque deviene excesivamente complejo determinar en qué grado. La privacidad se considera alta, si se hace un uso exclusivo de los datos personales para la mejora de la aplicación y la experiencia del usuario.
Estándares y certificación: En el ámbito de la ciberseguridad hay diferentes estándares y certificaciones mediante las cuales una tercera parte garantiza que un proveedor de soluciones TIC cumple unos determinados requisitos. El hecho de estar alineado con auditorías que lo validen garantiza que los operadores de las aplicaciones de videoconferencia hacen uso de unas buenas prácticas en materia de ciberseguridad.
A: Service Organization Controles (SOC) 1 y / o 2 y / o 3; certificaciones relativas a los procesos y prácticas de seguridad, protección y privacidad en las plataformas y centros de datos.
B: ISO 27001; certificación relativa a las mejores prácticas y controles de seguridad en la administración de sistemas de información.
C: ISO 27017; certificación con controles y guías para la protección de los servicios en entornos en la nube.
D: ISO 27018; certificación con controles y guías de protección de información personal identificable (PII) en entornos en la nube.
MI: Cloud Computing Compliance Controles Catalogue (C5); estándar auditable alemán que establece una base de seguridad en la nube.
F: Cloud Security Alliance Compliance; certificación en materia de seguridad y privacidad para proveedores de servicios en la nube.
GRAMO: Adhesión al Privacy Shield Framework; certificación del cumplimiento de los requerimientos de la UE en materia de transferencia y protección de datos personales (para empresas ubicadas en los EE.UU.).
H: TRUSTe; certificación para políticas y prácticas en materia de privacidad y gobierno de los datos.
I: Esquema Nacional de Seguridad; certificación relativa a la política de seguridad en la utilización de medios electrónicos para el Estado español
Recomendaciones de uso
Por último, y una vez conocedoras del grado de seguridad que ofrecen cada una de las aplicaciones antes subsanadas, es importante seguir una serie de recomendaciones de uso para garantizar un uso óptimo de estas:
Analiza y escoge: analiza las funcionalidades, los controles de seguridad y las políticas de privacidad.
Actualízate: utiliza una versión actualizada del software que disponga de las últimas funcionalidades y actualizaciones de seguridad.
Invitaciones de confianza: estate alerta que el remitente sea conocido y que el enlace que te suministra te dirige a una URL oficial. Una falsa invitación podría ser utilizada para dirigirte a una web de pesca de credenciales (suplantación de identidad) o invitarte a descargar un software malicioso (malware).
Invita los y las asistentes con cautela: no compartas los enlaces de las reuniones a través de las redes sociales, invítalos personalmente y insta’ls a no compartir la información.
Sin línea telefónica: algunas apps permiten la incorporación a la videoconferencia mediante la marcación de un número de teléfono. Evita esta posibilidad ya que la información en tránsito por este canal puede no estar cifrada.
asistentes: comprueba los y las asistentes incorporados a la videoconferencia para evitar invitados no deseados y bloquea la reunión cuando haya todas las asistentes incorporadas. Expulsar participantes no deseados.
Graba con preaviso: informa a las y los asistentes que la videoconferencia será grabada. Sin embargo, asegúrate de que la grabación queda almacenada en un lugar seguro con medidas de protección adecuadas donde sólo pueda ceder el personal autorizado con contraseña.
Protege el entrada a tu cuenta: asegúrate de que dispones de una contraseña segura y, siempre que sea posible, habilita la doble autentificación.
Reuniones con contraseña de entrada
Todos identificado: permite que los y las usuarias introduzcan un identificador para facilitar su reconocimiento.
Ocultar el fondo: establece un fondo virtual o difuminado.
Restringe quien puede compartir pantalla: establece los permisos para evitar que los y las asistentes puedan compartir la pantalla por defecto.
Por una soberanía tecnológica, mantengamos nuestros datos en entornos seguros.