¿Cómo elegir la mejor solución de videoconferencia para protegerse del espionaje industrial?

Maribel Poyato, Country Manager de TIXEO

7 enero, 2019
439 Visualizaciones

El ciberespionaje ha aumentado drásticamente en los últimos años y es la principal ciberamenaza del próximo año. La consultora PwC, en su estudio Economic impact of trade secrets thefts, estima que a causa del espionaje industrial, las compañías de todo el mundo pierden cada año hasta 3 billones de euros, el equivalente del 5% del PIB mundial.

La información que se intercambia durante una videoconferencia suele ser confidencial y estratégica, por lo que debe estar absolutamente protegida contra cualquier riesgo de espionaje, aún así la seguridad de las videoconferencias se descuida por completo en la actualidad.

Los sistemas de videoconferencia tradicionales son un objetivo habitual de ataques informáticos, principalmente a través de los protocolos SIP o H.323.

Las empresas que quieren protegerse de estos riesgos limitan el uso de las videoconferencias o aíslan la herramienta de comunicación a una red privada. Esta estrategia puede ser efectiva para la comunicación interna, pero tiene la enorme desventaja de limitar el alcance de estas soluciones, pues excluye a los usuarios que no tengan a esta red privada (clientes, proveedores, colaboradores externos, etc).

El impacto de una solución de videoconferencia en la seguridad de la red y de los sistemas informáticos se pasa por alto con mucha frecuencia. Muchas soluciones requieren un debilitamiento considerable de la seguridad, con consecuencias que pueden ser muy graves.

He aquí algunos elementos que pueden afectar a la seguridad:

  • Apertura de puertos: los sistemas de videoconferencia tradicionales basados en protocolos H.323/SIP requieren la apertura de puertos de red, no sólo en el propio sistema, sino también en su infraestructura de red. Este es un riesgo importante, ya que cada puerto abierto es un posible punto de acceso malicioso a su información por parte de los ciberdelincuentes.
  • Cifrado de las comunicaciones en entorno multipunto: los sistemas de videoconferencia tradicionales basados en protocolos H.323/SIP mezclan y descifran los flujos de audio, vídeo y datos al pasar por el servidor (unidad central multipunto) antes de enviarlos de vuelta a los participantes. Un cifrado real de extremo a extremo (de cliente a cliente) además el cifrado de cliente a servidor es crucial para poder prevenir un ataque informático.
  • Riesgo de ataques de robots: Muchas aplicaciones de software de robots utilizan los protocolos SIP y H.323 para identificar y atacar sistemas que utilizan estos protocolos. Este riesgo aumenta aún más cuando un dispositivo está en modo de respuesta automática.
  • Comprobación de la cadena de certificación: En el contexto de una reunión externa, los flujos de comunicación atravesarán muchos equipos (router, proxy…) que no pueden ser controlados. Si la cadena de certificación no se verifica adecuadamente, los flujos pueden descifrarse inyectando un falso certificado raíz o intermedio. La mayoría de los terminales H.323/SIP no realizan esta comprobación.
  • Acceso seguro a las reuniones: Si los invitados no tienen que autenticarse con usuario y contraseña cifrada e irreversible, puede que aparezca algún “invitado sorpresa”, lo que es habitual en los software en los que se accede únicamente a través de un enlace compartido además de forma pública.
  • Software “secure by design”: ¿el software ha sido securizado desde su concepción y en todas sus etapas? Para una organización que desea asegurar y proteger sus datos personales, es imprescindible elegir soluciones que integren «Seguridad y privacidad mediante el diseño» como requisito previo. Todavía hay muy pocos fabricantes de software que ofrezcan estas soluciones.
  • Software firmado de forma digital: Si el software no está firmado de forma digital no se puede tener certeza de su autenticidad. De hecho, muchos usuarios de internet, son ahora más que nunca, víctimas de virus contenidos en programas informáticos falsificados.
  • Backdoors: Los gobiernos de algunos países exigen a sus fabricantes de software que proporcionen capacidades de escucha (backdoor o puerta trasera). Esta puerta trasera en un sistema de videoconferencia puede proporcionar acceso a los datos almacenados (registros de llamadas, listas de destinatarios, etc.) pero también a las propias comunicaciones (comunicaciones de voz, vídeos, documentos compartidos, etc). El riesgo asociado a la implementación de una solución con este tipo de puerta trasera es doble, no sólo el Estado en cuestión puede tener acceso a ella (con fines de patriotismo económico), sino también un competidor que ha contratado a un hacker (una puerta trasera es un vacío legal). Más del 90% de las soluciones de videoconferencia son estadounidenses y están sujetas a la US Patriot Act (ley patriótica). Este problema de escuchas se ha enfatizado después de las revelaciones de E. Snowden en 2013 (grabación de videollamadas SkypeTM en el programa PRISM). Además no se limita sólo a los EEUU, empresas de otros países desarrollados como China o Rusia se ven limitadas por normativas similares.
  • Alojamiento de servicios: ¿los datos transitarán fuera de la red de la empresa? ¿están en la nube? ¿es una nube soberana? En el caso del acceso a recursos internos (directorios, almacenamiento, mensajería…) ¿es seguro? La Cloud Act (ley de la nube) permite al gobierno de EEUU y de otros países acceder a toda la información almacenada en la nube por empresas con sede en EEUU independientemente de donde tengan su servidor.

Ante tal situación, es importante que la solución de videoconferencia no esté basada en protocolos H.323/SIP, a ser posible que sea una solución 100% europea que no esté sometida a leyes gubernamentales que le exijan estar dotada de capacidades de escucha, y a ser posible que haya obtenido una cualificación/certificación de un organismo oficial que avale la seguridad de los sistemas de información.

Tixeo, líder en videconferencia segura multipunto, ha tenido en cuenta todos estos elementos y a día de hoy se posiciona como la única solución de videoconferencia segura del mercado. Además es la primera empresa de videoconferencia que ha recibido la cualificación y certificación de la ANSSI (Agencia nacional de seguridad de los sistemas de información en Francia, equivalente al Centro Criptológico Nacional en España).

Te podría interesar

El sector bancario, uno de los más lentos a la hora de solucionar brechas de seguridad
Actualidad
4 compartido385 visualizaciones
Actualidad
4 compartido385 visualizaciones

El sector bancario, uno de los más lentos a la hora de solucionar brechas de seguridad

Vicente Ramírez - 28 febrero, 2019

Según el informe el Estado de la Seguridad Software de Veracode, la banca tarda hasta un año en corregir sus…

ESET apunta a la Inteligencia Artificial para mejorar la lucha contra el cibercrimen
Network Security
9 compartido586 visualizaciones
Network Security
9 compartido586 visualizaciones

ESET apunta a la Inteligencia Artificial para mejorar la lucha contra el cibercrimen

Mónica Gallego - 26 febrero, 2019

El 80% de los profesionales encuestados por la compañía cree que la automatización de procesos y la Inteligencia Artificial ayudarán…

¿Se podrá solucionar el fraude bancario con Inteligencia Artificial?
Soluciones Seguridad
14 compartido2,327 visualizaciones1
Soluciones Seguridad
14 compartido2,327 visualizaciones1

¿Se podrá solucionar el fraude bancario con Inteligencia Artificial?

Mónica Gallego - 5 septiembre, 2018

El fraude bancario es un grave problema que afecta a millones de personas. Con el auge de las tablets y…

Deje un comentario

Su email no será publicado