Consejos para garantizar la privacidad en reuniones online

✔ Al trabajar a distancia, se recurre a herramientas que permitan conectar a los empleados para realizar proyectos en equipo o reunirse para tomar decisiones. Se trata de las plataformas de videoconferencias, tan popularizadas en la actualidad. Las más habituales son Webex, Zoom, Skype o Microsot Teams.

El problema de estas plataformas es que pueden no cumplir con todos los requisitos de Privacidad desde el Diseño y por Defecto, presentando ciertas vulnerabilidades que permiten a los ciberdelincuentes acceder a la información personal de los usuarios.

Es por ello que dedicamos el post de hoy a enunciar las recomendaciones acaba de publicar a la Agencia Española de Protección de Datos (AEPD), para que, como usuarios, mitiguemos esas vulnerabilidades que puedan manifestarse en las plataformas de videoconferencias que utilizamos habitualmente. Estas recomendaciones se unen a las ya proporcionadas por el Instituto Nacional de Seguridad (INCIBE), el pasado año.

¿Qué recomendaciones debemos seguir a la hora de realizar reuniones online para garantizar nuestra privacidad?

El pasado 30 de junio de 2020, el INCIBE publicó un post denominado “Videollamadas: riesgos asociados a su uso y recomendaciones de seguridad” (videollamadas-riesgos-asociados-su-uso-y-recomendaciones-seguridad) en el que alertaba de los riesgos que presentan las plataformas de videconferencias.

Las más habituales son el llamado “bombing” que ocurre cuando un tercero accede a la videoconferencia haciéndose pasar por un participante legítimo de forma que puede espiar dichas conversaciones; los ataques de denegación de servicios (DoS) que provocan una sobrecarga de la plataforma haciendo imposible que funcione; los accesos a las salas sin control de seguridad, originados por  utilizar contraseñas o enlaces de invitación a las salas de espera de video inseguras; así como no actualizar las últimas versiones de la plataforma y descargarlas a través páginas inseguras.

Para ayudar a evitar estos riesgos, el INCIBE junto con el Ministerio de Asuntos Económicos y Transformación Digital  facilitó unas recomendaciones básicas en el uso de plataformas de videollamadas (recomendaciones_seguridad_aplicaciones_videollamada.pdf), que son las siguientes:

• Utilizar un plan empresarial en vez de uno básico.
• Activar la sala de espera y bloquear la reunión.
• Requerir contraseña para acceder a la reunión.
• Vigilar a quien se pasa la convocatoria.
• Apagar por defecto el video y la cámara.
• Tener cuidado con lo que se comparte.
• Conocer la política de privacidad de la herramienta.
• Descargar el software actualizado desde la web oficial.
• Cifrar las comunicaciones.

A estas recomendaciones, se unen los consejos básicos publicados recientemente por la AEPD el pasado 18 de febrero de 2021 en su post “Privacidad en reuniones online” (https://www.aepd.es/es/prensa-y-comunicacion/blog/privacidad-reuniones-online), que reproducimos en su literalidad a continuación:

• Observe y siga las políticas establecidas por su organización para las reuniones online. Esto incluye la utilización exclusiva del proveedor tecnológico aprobado por la organización. 
• En reuniones con un número elevado de asistentes y de diversas organizaciones, es conveniente designar al menos un participante que ayude al organizador durante su desarrollo en el control de los asistentes y cuestiones relativas a la privacidad y seguridad. 
• Piense por adelantado en la sensibilidad de los temas a tratar, la identidad de los participantes y la posible difusión en caso de que la reunión sea grabada. 
• Limite la reutilización de los códigos/enlaces de acceso. Si se ha usado el mismo código/enlace durante un tiempo, probablemente lo haya compartido con más personas de las que pueda imaginar o recordar. 
• Si el asunto de la reunión es sensible, bien por el tema a tratar, la identidad de los participantes o cualquier otra cuestión, utilice códigos, urls de enlace y/o pines de acceso de un solo uso. Además, considere la necesidad de utilizar autenticación de doble factor. Esto evitará que alguien pueda unirse simplemente averiguando la URL de enlace o el código de acceso. 
• Deshabilite las funcionalidades no necesarias como, por ejemplo, el chat, el intercambio de ficheros o la compartición de pantalla. 
• En su caso, límite quién puede compartir pantalla para evitar cualquier imagen no deseada o inesperada. Antes de que alguien comparta su pantalla, recuérdele el riesgo de compartir información sensible. 
• Realice la convocatoria únicamente a contactos concretos, evitando el envío de convocatorias a grupos o listas de correos, que incluyan enlaces que sean válidos tan solo por su posesión. 
• Utilice una ‘sala de espera’ para poder ir admitiendo a los participantes, y no permita que la reunión comience hasta que se una el anfitrión. 
• Habilite la notificación para cuando los asistentes se unen a la reunión. Podría ser mediante un tono característico o anunciando su nombre. Si su proveedor no lo permite, asegúrese de que el anfitrión pide a los nuevos asistentes que se identifiquen. 
• Si está disponible, use un panel para comprobar los asistentes e identificar aquellos que sean genéricos. 
• No grabe la reunión a menos que sea necesario. En tal caso, informe adecuadamente a los asistentes de la finalidad de la grabación y en qué momento se inicia/detiene la grabación. Algunos proveedores realizan estos avisos de forma automática. 
• Antes de iniciar la reunión, compruebe qué área es visible detrás de usted y qué información personal está revelando. Considere la utilización de un fondo virtual que enmascare el segundo plano. 
• Avise a posibles convivientes que se va a iniciar una reunión y tome las medidas para que su actividad no esté al alcance del micrófono y la cámara. 
• Más allá de temas de eficiencia en la comunicación, durante la reunión, desactive el micrófono y la recogida de video cuando no sea necesario. En particular, si va a realizar alguna acción fuera del foco de la cámara. Preste especial atención a los micrófonos inalámbricos 
• Sea consciente de que la captura de video y audio podría continuar, por algún tipo de error humano o de sistema, cuando usted cree que la reunión ha terminado. 
• Cuando termine la reunión, asegúrese de utilizar un dispositivo que inhabilite físicamente la cámara (pestaña, adhesivo o similar). No retire el dispositivo hasta que se vaya a iniciar la conexión. 

Además, la AEPD advierte que en aquellos casos  en que se vayan a tratar datos o información muy sensible, es conveniente consultar con un profesional de seguridad y TI y adoptar las siguientes precauciones adicionales:

• Utilice únicamente servicios de reuniones virtuales aprobados por su organización para esas situaciones, con cifrado de extremo a extremo y que utilicen pin o contraseñas únicas para cada asistente. Dé instrucciones para que no sean compartidas. 
• Utilice los paneles de asistentes para tener controlado quién está en la reunión en todo momento. 
• Bloquee el acceso a la reunión una vez que todos los participantes estén identificados. 
• Permita únicamente a los anfitriones compartir pantalla. 
• En caso de realizar grabaciones, deben ser cifradas mediante un algoritmo robusto y utilizando contraseñas fuertes. Elimine cualquier grabación que haya podido quedar almacenada en el proveedor. 
• Solicite explícitamente a los asistentes que únicamente utilicen dispositivos proporcionados y/o aprobados por la organización.

⚖️ Estimado lector, si tiene alguna duda relacionada con la «protección de datos», no dude en ponerse en contacto con nosotros utilizando nuestro formulario corporativo.