Header Ads Widget

Ticker

6/recent/ticker-posts

Lo que se debe y no se debe hacer en la seguridad de las videoconferencias

 

Cuando cualquier tecnología ve cómo su popularidad aumenta rápidamente, también crece el número de malos actores que se aprovechan de los usuarios nuevos y no capacitados. El mundo está viendo esto ahora con los servicios y aplicaciones de videoconferencia, a medida que han surgido informes sobre el secuestro de la popular aplicación Zoom, conocida como "Zoom-bombardeo".

Con múltiples informes de conferencias interrumpidas por imágenes pornográficas y / o de odio y lenguaje amenazador, la oficina de Boston del FBI emitió recientemente una advertencia para los usuarios de plataformas de videoconferencia sobre los incidentes. El experto en seguridad y periodista de investigación Brian Krebs brindó detalles sobre los problemas de contraseña de Zoom y cómo los piratas informáticos pudieron usar métodos de "marcación de guerra" para descubrir identificaciones y contraseñas de reuniones para las reuniones de Zoom.

Otra pesadilla: se han descubierto miles de grabaciones privadas de reuniones de Zoom en la web abierta, según The Washington Post . Zoom le dijo a The Verge que sus propios servidores no habían sido violados y que probablemente los usuarios habían subido los videos a otros servicios de almacenamiento en la nube. Pero se encontraron fácilmente mediante la búsqueda porque utilizaron la convención de nomenclatura predeterminada de la compañía para las grabaciones.

Bloquear reuniones

La buena noticia es que muchos productos de videoconferencia incluyen configuraciones de seguridad que pueden prevenir tales incidentes. La mala noticia es que a menudo se deja a los usuarios sin capacitación en seguridad la configuración de estas configuraciones.

Estamos aquí para ayudar. Como parte de su aviso, el FBI ofreció consejos de seguridad para empresas, escuelas e individuos que utilizan servicios de videoconferencia. Después de hablar con otros expertos en seguridad, ampliamos esas ideas para crear esta lista de lo que se debe y no se debe hacer en materia de seguridad en las reuniones web.

No utilice software o planes de nivel de consumidor para reuniones de negocios. Lo más probable es que las herramientas del consumidor no tengan todas las herramientas administrativas que necesita para bloquear las cosas. Si bien ningún servicio de videoconferencia puede garantizar una protección del 100% contra las amenazas, obtendrá un conjunto más completo de herramientas de seguridad con productos diseñados para uso empresarial, muchos de los cuales se ofrecerán de forma gratuita durante los próximos meses.


    Utilice las funciones de sala de espera en el software de conferencias. Estas características colocan a los participantes en una sala virtual separada antes de la reunión y permiten al anfitrión admitir solo a las personas que se supone que deben estar en la sala.

    Asegúrese de que la protección con contraseña esté habilitada. Zoom ahora genera automáticamente una contraseña además de un ID de sala de reuniones. Asegúrese de que su servicio use tanto un número de identificación de reunión como una cadena, pero además, que también tenga una contraseña o PIN por separado. Si el servicio le permite crear una contraseña para la reunión, utilice las mejores prácticas para la creación de contraseñas: utilice una cadena aleatoria de números, letras y símbolos; no cree una contraseña fácil de adivinar como "123456".

    No comparta enlaces a teleconferencias o aulas a través de publicaciones en las redes sociales. Invite a los asistentes desde el software de conferencias y dígales que no compartan los enlaces.

    No permita que los participantes compartan la pantalla de forma predeterminada. Su software debe ofrecer configuraciones que permitan a los anfitriones administrar la pantalla compartida. Una vez que ha comenzado una reunión, el anfitrión puede permitir que participantes específicos compartan cuando sea apropiado.

    No uses video en una llamada si no es necesario. Apagar la cámara web y escuchar el audio evita posibles esfuerzos de ingeniería social para aprender más sobre usted a través de objetos de fondo. Solo audio también ahorra ancho de banda de red en una conexión a Internet, lo que mejora la calidad general de audio y visual de la reunión.

    Utilice la última versión del software. Es probable que las vulnerabilidades de seguridad se exploten con más frecuencia en versiones de software más antiguas. Por ejemplo, Zoom actualizó recientemente su software para requerir reuniones protegidas con contraseña, y ha  detenido el trabajo en nuevas funciones para enfocar a sus desarrolladores en eliminar las vulnerabilidades de privacidad y seguridad, lo que indica que vendrán más actualizaciones. Verifique que los participantes estén usando la versión más actualizada disponible.

    Expulse a los participantes de las reuniones si un intruso puede entrar o se vuelve rebelde. Esto les impide volver a unirse.

    Bloquee una reunión una vez que todos los participantes se hayan unido a la llamada. Sin embargo, si un participante válido se retira, asegúrese de desbloquear la reunión para permitirle volver a entrar y luego volver a bloquearla después de que regrese.

    No grabe reuniones a menos que sea necesario. Si graba una reunión, asegúrese de que todos los participantes sepan que se están grabando (el software debería indicarlo, pero es una buena práctica decírselo también) y asigne un nombre único a la grabación cuando la guarde.

    Eduque a todos los empleados que organizan reuniones sobre los pasos específicos que deben seguir en el software que utiliza su empresa para garantizar que sus conferencias sean seguras.

    Por ejemplo, Gabriel Friedlander, director ejecutivo de la empresa de capacitación en conciencia de seguridad Wizer , publicó una lista en LinkedIn de configuraciones de seguridad recomendadas para las personas que usan Zoom, ya sea a través de sus empresas o para reuniones personales. Aquí hay un resumen de sus recomendaciones:

    • Apague [Video de los participantes]. Pueden volver a activarlo una vez que les permita unirse.
    • Desactivar [Unirse antes que el anfitrión]
    • Desactive [Usar ID de reunión personal (PMI) al programar una reunión]
    • Desactive [Usar ID de reunión personal (PMI) al iniciar una reunión instantánea]
    • Activa [Requerir contraseña al programar nuevas reuniones]
    • Activa [Silenciar a los participantes al entrar]
    • Active [Reproducir sonido cuando los participantes se unan o se vayan] (esto solo lo escucha el anfitrión).
    • Activa [Compartir pantalla]: solo host
    • Desactivar [Anotación]
    • Activar [Sala para grupos]: permite al anfitrión asignar participantes a la programación de la sala para grupos.
    • En la configuración avanzada, los anfitriones deben activar la función [Sala de espera].

    Si bien estas configuraciones son específicas de Zoom, cualquier software de videoconferencia que utilice debería ofrecer configuraciones similares. Si el suyo no lo hace, es hora de cambiar a un producto más seguro.

    Equilibrio entre seguridad y facilidad de uso

    Una de las razones por las que Zoom y otros servicios de videoconferencia han ganado popularidad ha sido su facilidad de uso para los usuarios finales, muchos de los cuales generalmente no usan la tecnología de manera regular.

    "La gente anhela la simplicidad cuando se trata de tecnología, especialmente durante tiempos estresantes como una pandemia global", dijo Reza Zaheri, fundador de 1: M Cyber ​​Security , que brinda capacitación en concientización sobre ciberseguridad. “Siempre hay un acto de malabarismo entre la seguridad y la facilidad de uso cuando se trata de productos tecnológicos.

    “Para generalizar completamente, la mayoría de los legos prefieren no pensar en los aspectos de seguridad y privacidad de un producto. Cuando estas funciones se integran en un producto, e incluso se anuncian como disponibles para el usuario, la mayoría de las personas todavía no configuran estas opciones y asumen que alguien más las está administrando en su nombre en el back-end ".

    Zoom ha publicado guías para bloquear reuniones en una publicación de blog y un video , pero eso aún impone a los usuarios la carga de protegerse.

    Zaheri dijo que los productos de software deberían tener la configuración de seguridad activada de forma predeterminada, con una configuración de exclusión voluntaria que muestre un mensaje de advertencia que explique a los usuarios por qué sería un riesgo desactivarlos.

    “Creo que a la mayoría de las personas que trabajan desde casa, y que pueden no sentirse cómodas con la tecnología, les gustaría tener configuraciones simples de seguridad y privacidad ya incorporadas y encendidas para ellos”, dijo. "Solo quieren iniciar el programa y usarlo; el proveedor ya debería haber configurado estos ajustes".

    Educar a una nueva ola de usuarios de tecnología

    Friedlander de Wizer dijo que los esfuerzos de piratería en torno a los servicios de videoconferencia han crecido como resultado directo del crecimiento de las políticas de trabajo en el hogar y escuela en el hogar a raíz de la pandemia de Covid-19.

    "Los piratas informáticos y los ciberdelincuentes piensan como los especialistas en marketing: siempre están buscando tendencias y cómo comercializar sus estafas", dijo. “Zoom es tendencia, el trabajo desde casa es tendencia, el coronavirus es tendencia, por lo que estamos viendo muchos nuevos tipos de amenazas debido a eso. Afecta a todo el mundo porque la gente depende hoy más que nunca de la tecnología ”.

    Lo que es diferente ahora en comparación con las amenazas de seguridad anteriores es que un conjunto completamente nuevo de usuarios de tecnología (estudiantes, maestros, miembros de la familia y pequeñas organizaciones como estudios de karate, fitness y danza) están utilizando videoconferencias para impartir clases, a menudo sin ningún soporte de TI o seguridad. detrás de ellos. Los esfuerzos tradicionales de mensajería en torno a la capacitación en seguridad, como los correos electrónicos o los mensajes de Twitter, deben expandirse hasta donde esta nueva audiencia los verá, dijo Friedlander.

    “Si quieres llegar a esas personas, tienes que pasar por los canales en los que están ahora”, aconsejó. “Ya veo a más gente de TI y seguridad haciendo videos de TikTok. Tal vez el material sea el mismo, pero la forma en que lo entrega tiene que adaptarse donde la gente [pueda verlo] ".

    Publicar un comentario

    0 Comentarios