✔ Al trabajar a distancia, se recurre a herramientas que permitan conectar a los empleados para realizar proyectos en equipo o reunirse para tomar decisiones. Se trata de las plataformas de videoconferencias, tan popularizadas en la actualidad. Las más habituales son Webex, Zoom, Skype o Microsot Teams.
El problema de estas plataformas es que pueden no cumplir con todos los requisitos de Privacidad desde el Diseño y por Defecto, presentando ciertas vulnerabilidades que permiten a los ciberdelincuentes acceder a la información personal de los usuarios.
Es por ello que dedicamos el post de hoy a enunciar las recomendaciones acaba de publicar a la Agencia Española de Protección de Datos (AEPD), para que, como usuarios, mitiguemos esas vulnerabilidades que puedan manifestarse en las plataformas de videoconferencias que utilizamos habitualmente. Estas recomendaciones se unen a las ya proporcionadas por el Instituto Nacional de Seguridad (INCIBE), el pasado año.
¿Qué recomendaciones debemos seguir a la hora de realizar reuniones online para garantizar nuestra privacidad?
El pasado 30 de junio de 2020, el INCIBE publicó un post denominado “Videollamadas: riesgos asociados a su uso y recomendaciones de seguridad” (videollamadas-riesgos-asociados-su-uso-y-recomendaciones-seguridad) en el que alertaba de los riesgos que presentan las plataformas de videconferencias.
Las más habituales son el llamado “bombing” que ocurre cuando un tercero accede a la videoconferencia haciéndose pasar por un participante legítimo de forma que puede espiar dichas conversaciones; los ataques de denegación de servicios (DoS) que provocan una sobrecarga de la plataforma haciendo imposible que funcione; los accesos a las salas sin control de seguridad, originados por utilizar contraseñas o enlaces de invitación a las salas de espera de video inseguras; así como no actualizar las últimas versiones de la plataforma y descargarlas a través páginas inseguras.
Para ayudar a evitar estos riesgos, el INCIBE junto con el Ministerio de Asuntos Económicos y Transformación Digital facilitó unas recomendaciones básicas en el uso de plataformas de videollamadas (recomendaciones_seguridad_aplicaciones_videollamada.pdf), que son las siguientes:
- Utilizar un plan empresarial en vez de uno básico.
- Activar la sala de espera y bloquear la reunión.
- Requerir contraseña para acceder a la reunión.
- Vigilar a quien se pasa la convocatoria.
- Apagar por defecto el video y la cámara.
- Tener cuidado con lo que se comparte.
- Conocer la política de privacidad de la herramienta.
- Descargar el software actualizado desde la web oficial.
- Cifrar las comunicaciones.
A estas recomendaciones, se unen los consejos básicos publicados recientemente por la AEPD el pasado 18 de febrero de 2021 en su post “Privacidad en reuniones online” (https://www.aepd.es/es/prensa-y-comunicacion/blog/privacidad-reuniones-online), que reproducimos en su literalidad a continuación:
- Observe y siga las políticas establecidas por su organización para las reuniones online. Esto incluye la utilización exclusiva del proveedor tecnológico aprobado por la organización.
- En reuniones con un número elevado de asistentes y de diversas organizaciones, es conveniente designar al menos un participante que ayude al organizador durante su desarrollo en el control de los asistentes y cuestiones relativas a la privacidad y seguridad.
- Piense por adelantado en la sensibilidad de los temas a tratar, la identidad de los participantes y la posible difusión en caso de que la reunión sea grabada.
- Limite la reutilización de los códigos/enlaces de acceso. Si se ha usado el mismo código/enlace durante un tiempo, probablemente lo haya compartido con más personas de las que pueda imaginar o recordar.
- Si el asunto de la reunión es sensible, bien por el tema a tratar, la identidad de los participantes o cualquier otra cuestión, utilice códigos, urls de enlace y/o pines de acceso de un solo uso. Además, considere la necesidad de utilizar autenticación de doble factor. Esto evitará que alguien pueda unirse simplemente averiguando la URL de enlace o el código de acceso.
- Deshabilite las funcionalidades no necesarias como, por ejemplo, el chat, el intercambio de ficheros o la compartición de pantalla.
- En su caso, límite quién puede compartir pantalla para evitar cualquier imagen no deseada o inesperada. Antes de que alguien comparta su pantalla, recuérdele el riesgo de compartir información sensible.
- Realice la convocatoria únicamente a contactos concretos, evitando el envío de convocatorias a grupos o listas de correos, que incluyan enlaces que sean válidos tan solo por su posesión.
- Utilice una ‘sala de espera’ para poder ir admitiendo a los participantes, y no permita que la reunión comience hasta que se una el anfitrión.
- Habilite la notificación para cuando los asistentes se unen a la reunión. Podría ser mediante un tono característico o anunciando su nombre. Si su proveedor no lo permite, asegúrese de que el anfitrión pide a los nuevos asistentes que se identifiquen.
- Si está disponible, use un panel para comprobar los asistentes e identificar aquellos que sean genéricos.
- No grabe la reunión a menos que sea necesario. En tal caso, informe adecuadamente a los asistentes de la finalidad de la grabación y en qué momento se inicia/detiene la grabación. Algunos proveedores realizan estos avisos de forma automática.
- Antes de iniciar la reunión, compruebe qué área es visible detrás de usted y qué información personal está revelando. Considere la utilización de un fondo virtual que enmascare el segundo plano.
- Avise a posibles convivientes que se va a iniciar una reunión y tome las medidas para que su actividad no esté al alcance del micrófono y la cámara.
- Más allá de temas de eficiencia en la comunicación, durante la reunión, desactive el micrófono y la recogida de video cuando no sea necesario. En particular, si va a realizar alguna acción fuera del foco de la cámara. Preste especial atención a los micrófonos inalámbricos
- Sea consciente de que la captura de video y audio podría continuar, por algún tipo de error humano o de sistema, cuando usted cree que la reunión ha terminado.
- Cuando termine la reunión, asegúrese de utilizar un dispositivo que inhabilite físicamente la cámara (pestaña, adhesivo o similar). No retire el dispositivo hasta que se vaya a iniciar la conexión.
Además, la AEPD advierte que en aquellos casos en que se vayan a tratar datos o información muy sensible, es conveniente consultar con un profesional de seguridad y TI y adoptar las siguientes precauciones adicionales:
- Utilice únicamente servicios de reuniones virtuales aprobados por su organización para esas situaciones, con cifrado de extremo a extremo y que utilicen pin o contraseñas únicas para cada asistente. Dé instrucciones para que no sean compartidas.
- Utilice los paneles de asistentes para tener controlado quién está en la reunión en todo momento.
- Bloquee el acceso a la reunión una vez que todos los participantes estén identificados.
- Permita únicamente a los anfitriones compartir pantalla.
- En caso de realizar grabaciones, deben ser cifradas mediante un algoritmo robusto y utilizando contraseñas fuertes. Elimine cualquier grabación que haya podido quedar almacenada en el proveedor.
- Solicite explícitamente a los asistentes que únicamente utilicen dispositivos proporcionados y/o aprobados por la organización.
⚖️ Estimado lector, si tiene alguna duda relacionada con la «protección de datos», no dude en ponerse en contacto con nosotros utilizando nuestro formulario corporativo.