¿Cómo elegir la mejor solución de videoconferencia para protegerse del espionaje industrial?

Maribel Poyato, Country Manager de TIXEO

7 enero, 2019
267 Visualizaciones

El ciberespionaje ha aumentado drásticamente en los últimos años y es la principal ciberamenaza del próximo año. La consultora PwC, en su estudio Economic impact of trade secrets thefts, estima que a causa del espionaje industrial, las compañías de todo el mundo pierden cada año hasta 3 billones de euros, el equivalente del 5% del PIB mundial.

La información que se intercambia durante una videoconferencia suele ser confidencial y estratégica, por lo que debe estar absolutamente protegida contra cualquier riesgo de espionaje, aún así la seguridad de las videoconferencias se descuida por completo en la actualidad.

Los sistemas de videoconferencia tradicionales son un objetivo habitual de ataques informáticos, principalmente a través de los protocolos SIP o H.323.

Las empresas que quieren protegerse de estos riesgos limitan el uso de las videoconferencias o aíslan la herramienta de comunicación a una red privada. Esta estrategia puede ser efectiva para la comunicación interna, pero tiene la enorme desventaja de limitar el alcance de estas soluciones, pues excluye a los usuarios que no tengan a esta red privada (clientes, proveedores, colaboradores externos, etc).

El impacto de una solución de videoconferencia en la seguridad de la red y de los sistemas informáticos se pasa por alto con mucha frecuencia. Muchas soluciones requieren un debilitamiento considerable de la seguridad, con consecuencias que pueden ser muy graves.

He aquí algunos elementos que pueden afectar a la seguridad:

  • Apertura de puertos: los sistemas de videoconferencia tradicionales basados en protocolos H.323/SIP requieren la apertura de puertos de red, no sólo en el propio sistema, sino también en su infraestructura de red. Este es un riesgo importante, ya que cada puerto abierto es un posible punto de acceso malicioso a su información por parte de los ciberdelincuentes.
  • Cifrado de las comunicaciones en entorno multipunto: los sistemas de videoconferencia tradicionales basados en protocolos H.323/SIP mezclan y descifran los flujos de audio, vídeo y datos al pasar por el servidor (unidad central multipunto) antes de enviarlos de vuelta a los participantes. Un cifrado real de extremo a extremo (de cliente a cliente) además el cifrado de cliente a servidor es crucial para poder prevenir un ataque informático.
  • Riesgo de ataques de robots: Muchas aplicaciones de software de robots utilizan los protocolos SIP y H.323 para identificar y atacar sistemas que utilizan estos protocolos. Este riesgo aumenta aún más cuando un dispositivo está en modo de respuesta automática.
  • Comprobación de la cadena de certificación: En el contexto de una reunión externa, los flujos de comunicación atravesarán muchos equipos (router, proxy…) que no pueden ser controlados. Si la cadena de certificación no se verifica adecuadamente, los flujos pueden descifrarse inyectando un falso certificado raíz o intermedio. La mayoría de los terminales H.323/SIP no realizan esta comprobación.
  • Acceso seguro a las reuniones: Si los invitados no tienen que autenticarse con usuario y contraseña cifrada e irreversible, puede que aparezca algún “invitado sorpresa”, lo que es habitual en los software en los que se accede únicamente a través de un enlace compartido además de forma pública.
  • Software “secure by design”: ¿el software ha sido securizado desde su concepción y en todas sus etapas? Para una organización que desea asegurar y proteger sus datos personales, es imprescindible elegir soluciones que integren “Seguridad y privacidad mediante el diseño” como requisito previo. Todavía hay muy pocos fabricantes de software que ofrezcan estas soluciones.
  • Software firmado de forma digital: Si el software no está firmado de forma digital no se puede tener certeza de su autenticidad. De hecho, muchos usuarios de internet, son ahora más que nunca, víctimas de virus contenidos en programas informáticos falsificados.
  • Backdoors: Los gobiernos de algunos países exigen a sus fabricantes de software que proporcionen capacidades de escucha (backdoor o puerta trasera). Esta puerta trasera en un sistema de videoconferencia puede proporcionar acceso a los datos almacenados (registros de llamadas, listas de destinatarios, etc.) pero también a las propias comunicaciones (comunicaciones de voz, vídeos, documentos compartidos, etc). El riesgo asociado a la implementación de una solución con este tipo de puerta trasera es doble, no sólo el Estado en cuestión puede tener acceso a ella (con fines de patriotismo económico), sino también un competidor que ha contratado a un hacker (una puerta trasera es un vacío legal). Más del 90% de las soluciones de videoconferencia son estadounidenses y están sujetas a la US Patriot Act (ley patriótica). Este problema de escuchas se ha enfatizado después de las revelaciones de E. Snowden en 2013 (grabación de videollamadas SkypeTM en el programa PRISM). Además no se limita sólo a los EEUU, empresas de otros países desarrollados como China o Rusia se ven limitadas por normativas similares.
  • Alojamiento de servicios: ¿los datos transitarán fuera de la red de la empresa? ¿están en la nube? ¿es una nube soberana? En el caso del acceso a recursos internos (directorios, almacenamiento, mensajería…) ¿es seguro? La Cloud Act (ley de la nube) permite al gobierno de EEUU y de otros países acceder a toda la información almacenada en la nube por empresas con sede en EEUU independientemente de donde tengan su servidor.

Ante tal situación, es importante que la solución de videoconferencia no esté basada en protocolos H.323/SIP, a ser posible que sea una solución 100% europea que no esté sometida a leyes gubernamentales que le exijan estar dotada de capacidades de escucha, y a ser posible que haya obtenido una cualificación/certificación de un organismo oficial que avale la seguridad de los sistemas de información.

Tixeo, líder en videconferencia segura multipunto, ha tenido en cuenta todos estos elementos y a día de hoy se posiciona como la única solución de videoconferencia segura del mercado. Además es la primera empresa de videoconferencia que ha recibido la cualificación y certificación de la ANSSI (Agencia nacional de seguridad de los sistemas de información en Francia, equivalente al Centro Criptológico Nacional en España).

Te podría interesar

¿Cómo protegerte de las botnets?
Soluciones Seguridad
18 compartido2,092 visualizaciones
Soluciones Seguridad
18 compartido2,092 visualizaciones

¿Cómo protegerte de las botnets?

Mónica Gallego - 27 diciembre, 2018

Los ciberdelincuentes dependen cada vez más del poder de las botnets para orquestar ataques de denegación de servicio distribuidos (DDoS),…

Business Integrity Screening, la solución de SAP para reducir riesgos en las transacciones financieras
FINTECH
30 compartido1,862 visualizaciones
FINTECH
30 compartido1,862 visualizaciones

Business Integrity Screening, la solución de SAP para reducir riesgos en las transacciones financieras

Vicente Ramírez - 15 marzo, 2018

Analiza datos en tiempo real para identificar las objeciones y aumentar la seguridad en las transacciones empresariales Combina reglas de…

El interés de las niñas por la ciencia y la tecnología se duplica cuando cuentan con referentes femeninos en este terreno
Actualidad
14 compartido1,279 visualizaciones
Actualidad
14 compartido1,279 visualizaciones

El interés de las niñas por la ciencia y la tecnología se duplica cuando cuentan con referentes femeninos en este terreno

Vicente Ramírez - 7 mayo, 2018

Un estudio realizado por Microsoft demuestra que es fundamental dar visibilidad a mujeres de éxito en el mundo de la…

Deje un comentario

Su email no será publicado