Actualmente, las plataformas de videoconferencias se han convertido en la herramienta principal de trabajo de las oficinas, motivo por el cual la seguridad de estas es primordial para el buen funcionamiento de las organizaciones. No obstante, algo tan trascendente como proteger tus chats de video, en realidad, no suele ser sencillo.
Muchas empresas caen en la tentación de conformarse con medidas de seguridad como cortafuegos o contraseñas adicionales en las herramientas web. Sin embargo, en la práctica, esto son solo obstáculos que los hackers pueden sortear y, una vez superados, las organizaciones no tienen protección frente al acceso ilícito a sus comunicaciones empresariales privadas e incluso a los datos de los usuarios. Incluso en el caso de los pequeños negocios, este tipo de ataques puede tener consecuencias devastadoras y provocar pérdidas de ingresosinmediatas y una seria mancha en la reputación de la empresa.
Sin protección directamente incorporada en el servicio, no habrá ningún tipo de seguridad real en las llamadas y conferencias que se realicen desde la web
El núcleo de un servicio de videoconferencias seguras no está en los complementos o las herramientas adicionales. Lo cierto es que, sin protección directamente incorporada en el servicio, no habrá ningún tipo de seguridad real en las llamadas y conferencias que se realicen desde la web.
La forma más directa para evitar brechas de seguridad es mediante las contraseñas, ya que, si estas son demasiado sencillas o comunes, será cuestión de tiempo que un ciberdelincuente adivine las credenciales correctas. Por eso se recomienda recurrir a letras mayúsculas y minúsculas, números y caracteres especiales. Sin embargo, garantizar que las contraseñas sean largas y complejas no crea instantáneamente un entorno de conferencias web seguro. Después de todo, las bases de datos de las contraseñas se piratean con frecuencia y se pueden filtrar en la dark web, otorgando acceso a los hackers sin ninguna dificultad. Por suerte, las bases de datos de contraseñas se pueden mantener seguras mediante el cifrado del proveedor de software, en especial mediante el protocolo SHA512. De esta forma, las contraseñas almacenadas en las bases de datos resultan ilegibles para cualquiera excepto para el propio sistema.
Otra respuesta efectiva para securizar las UCaaS es el inicio de sesión único (SSO). En lugar de requerir una nueva contraseña para proteger tu software de video conferencias, este permite que los usuarios inicien sesión en una cuenta existente, como Google o Microsoft. De este modo, el usuario puede reutilizar una contraseña compleja que ya conoce y seguir disfrutando de un inicio de sesión seguro en otros programas adicionales. Además, se puede añadir más seguridad a los procedimientos de inicio de sesión mediante la autenticación de doble factor (two-factor authentication o 2FA). En este caso, un inicio de sesión correcto no concede acceso inmediato a la cuenta. En su lugar, los usuarios deben introducir un código recibido en su correo electrónico o número de teléfono, hecho que reduce drásticamente las posibilidades de inicio de sesión no autorizado.
Cuando los intentos de inicio de sesión fracasan, a menudo los hackers intentan interceptar las videoconferencias en secreto, llegando a infectar un teléfono para escuchar furtivamente, por ejemplo. La forma más viable de prevenir esto es usar un programa de videoconferencias cifrado, que mezcla los datos para que resulten ilegibles ante los ojos de usuarios no autorizados: cuanto más sofisticado es el método de cifrado, más difícil resulta conseguir los datos. Uno de los más seguros es Secure Real-Time Transport Protocol (SRTP), que utiliza una clave de cifrado aleatoria para el contenido multimedia y medios integrados de autenticación de los mensajes intercambiados.
La tecnología para intercambios multimedia diseñada para compartir comunicaciones directamente dentro del navegador web, WebRTC, es la gran olvidada para securizar los sistemas. Esta funciona directamente en el navegador sin ningún plug-in adicional. Como consecuencia, se actualizará con la última sesión tan pronto como se actualice el navegador. Esto hace que sea muchísimo más rápido instalar los últimos protocolos de seguridad y ayuda a evitar hackeos relacionados con las vulnerabilidades o elementos del sistema. Por otra parte, funciona directamente en el navegador sin necesidad de instalarlo en ningún dispositivo, de tal manera que existe de forma separada a la arquitectura digital del equipo en cuestión. Así pues, no se ve afectado por ningún programa instalado o por las vulnerabilidades del dispositivo; cualquier spyware, virus u otros programas clandestinos que pueden crear los hackers para acceder sin permiso. Todo esto se suma a las medidas de seguridad que WebRTC incorpora por diseño: cifrado completo de extremo a extremo mediante DTLS y SRTP.
WebRTC es la gran olvidada para securizar los sistemas de comunicaciones unificadas
Todas estas medidas de seguridad deben ir de la mano de una forma de identificar amenazas potenciales o reales. Este requisito es, en realidad, mucho más fácil de cumplir con el apoyo de un software. Un buen sistema debe tener una herramienta o API para registrar los accesos, y esto debe ser fácilmente accesible para los técnicos locales. Lo ideal sería que el sistema alertase a los responsables de seguridad si alguna de estas entradas parece ilegítima. Pero también es importante contar con una supervisión constante del sistema para mantener la alerta contra ataques masivos o ataques distribuido de denegación de servicio (distributed denial of service o DDoS).
En conclusión, es crucial que estas medidas estén integradas en la solución de UCaaS y se encuentren siempre activas como componente de la plataforma, en lugar de funcionar como complementos o add-ons que se pueden desconectar. Para estar realmente seguro en una videollamada, las medidas de seguridad tienen que ser un aspecto inherente del sistema y formar parte indisociable de su diseño.