La videoconferencia ha sido un factor clave para el crecimiento del trabajo remoto. Desde un trabajador solitario que trabaja desde casa hasta una empresa con equipos en todo el mundo, VC permite una comunicación real cara a cara. Pero, ¿trae un nuevo riesgo para el negocio?
Damos por sentado las instalaciones de VC, buscando un mejor audio, gráficos más rápidos y mejores herramientas de trabajo en equipo, pero ¿estamos prestando suficiente atención a la seguridad? Las plataformas como FaceTime, WhatsApp y Skype utilizan tecnologías comunes como WebRTC, entonces, ¿qué pasaría si un hacker pudiera encontrar y explotar una vulnerabilidad?
Aquí echamos un breve vistazo a la investigación realizada recientemente sobre las vulnerabilidades y cómo un pirata informático podría explotarlas. Finalmente, analizamos las mejores formas de proteger nuestras llamadas de VC.
¿Cuál es el riesgo?
Para las llamadas de VC comerciales, existe un riesgo potencial significativo al exponer información confidencial. Esto podría ser ejecutivos que discuten información financiera o tecnólogos que comparten detalles de IP. La información confidencial es como un imán para los hackers. Fuera del negocio, hay valor en los datos pirateados de individuos, como sus cuentas de Facebook o WhatsApp.
¿Cómo podría hacerse?
Natalie Silvanovich, del equipo de Project Zero de Google, descubrió recientemente vulnerabilidades que podrían ser explotadas por un hacker (desde entonces han sido parcheadas). La comunicación web en tiempo real (WebRTC) es una tecnología de código abierto ampliamente utilizada que permite la comunicación en tiempo real. Silvanovich encontró varias vulnerabilidades en WebRTC, lo suficientemente graves como para causar un bloqueo con errores fuera de límites o desbordamiento.
Los hackers a menudo inician desbordamientos del montón de memoria como su herramienta de intrusión. Al iniciar un desbordamiento en el dispositivo del objetivo, un hacker podría hacerse cargo de su cuenta e interceptar el VC. Hay dos métodos factibles:
- El hacker inicia una llamada de VC usando un dispositivo no autorizado, establece una comunicación entre pares y activa la vulnerabilidad en el dispositivo del objetivo.
- Usando una técnica de phishing, el objetivo es persuadido para iniciar un VC, pero usando un servidor de señalización que está bajo el control del hacker. El pirata informático puede entonces establecer más fácilmente una comunicación entre pares con su dispositivo no autorizado.
¿Afectará las tasas de terminación de VoIP al por mayor?
Hemos visto un aumento en el fraude de telecomunicaciones que afecta los ingresos de los operadores. Los ataques como el fraude de voz, el fraude de SMS y el fraude IPX están dirigidos tanto a los operadores como a las empresas que los utilizan. Los ejemplos de métodos de pirateo que describimos afectarían a las empresas y los consumidores, aunque no deberíamos descartar la escalada en los operadores de orientación.
¿Cómo podemos protegernos?
Silvanovich presentó las vulnerabilidades como errores, que luego se corrigieron. Por lo tanto, no hay una causa inmediata de alarma en el contexto de estos casos específicos. Sin embargo, la vigilancia, como siempre, es vital para evitar traer riesgos a las operaciones comerciales. Aquí hay tres sugerencias para reducir el riesgo:
- Actualice la herramienta VC a la última revisión de seguridad tan pronto como esté disponible. Los desarrolladores corrigen constantemente las vulnerabilidades y las liberan, por lo que es fundamental mantenerse actualizado
- Capacite al personal para que no responda llamadas de VC desde números desconocidos. Una llamada entrante es el punto de entrada natural para un hacker
- Use un firewall para proteger la comunicación VC
Si está buscando una solución de videoconferencia segura y protegida, pruebe Huddle de Net2Phone. Huddle permite comunicaciones virtuales cara a cara seguras con personas de todo el mundo.