Las reuniones virtuales van a ser una herramienta de uso diario para trabajar en entornos colaborativos, organizar comités de seguimiento o para poder resolver incidencias comunes. Las soluciones de videoconferencia o web conferencia hacen referencia a aquellas tecnologías que permiten la comunicación audiovisual a través de redes LAN o WAN con infraestructuras locales (on-premise), en la nube (Cloud VaaS o SaaS) o soluciones híbridas on-premise y cloud y con terminales (endpoints) físicos dotados de procesador (códec), cámara, micrófono y mando remoto (pantalla táctil o mando convencional); o soluciones software ejecutándose en diferentes plataformas hardware (sobremesa, portátiles, móviles y tabletas), con aplicativos software (MS Windows, iOS, Android o Linux). Estos dispositivos pueden tener su pantalla incluida/embebida o utilizar pantallas y proyectores externos, así como altavoces, megafonía externa y diversos periféricos de interfaz humana que faciliten la interacción con los dispositivos.
Equipos terminales Terminales de sala de reuniones
Equipos hardware instalados físicamente en una sala, fijos o móviles, basados en códec (codificador-decodificador) o en equipo con aplicativo software dedicados a reuniones de una o varias personas. Pueden ser de uso general para todo el personal o privativo en exclusiva para una persona. Deben estar en espacios de acceso vigilado o controlado, para evitar intrusiones físicas y suplantaciones de identidad en reuniones planificadas. Se debe desactivar la respuesta automática a llamadas entrantes.
Se recomienda que la cámara tenga un indicador luminoso cuando está en funcionamiento o de forma accesoria un obturador físico de la lente que permita taparla.
- Los micrófonos de mesa deben tener un indicador luminoso de estado: abierto, en verde; cerrado, en rojo. En micrófonos embebidos, el indicador visual debe ser en pantalla.
- Se recomienda que la pantalla se active siempre que el equipo esté activo y se vaya a negro cuando el equipo entre en suspensión.
- Se debe garantizar la confidencialidad de las sesiones de audio y vídeo, evitando cualquier dispositivo de captura o grabación externa, visible o no, como cámaras de vigilancia, móviles o micros.
- Deben tener su interfaz de control web configurado de manera segura con usuario y contraseña, y utilizar canales seguros basados en HTTPS o SSH cumpliendo estándares.
- Se recomienda que tengan bloqueado con código el acceso a opciones avanzadas.
- Deben estar actualizados a la última versión de firmware/software recomendada por el fabricante para evitar bugs conocidos y tener un plan proactivo de actualizaciones para vulnerabilidades de Día-0.
- El firmware/software de las aplicaciones que se ejecuten sobre el terminal debe provenir de repositorios verificados y autenticados, como pueden ser los repositorios del fabricante o los repositorios de aplicaciones de los proveedores de la plataforma (Microsoft, Google, Apple, Samsung, LG, etc.).
- Las sesiones de vídeo deben de cumplir con al menos los siguientes requisitos relativos a la seguridad en las comunicaciones:
o Utilizar canales seguros TLS 1.2 en las llamadas cifradas para la señalización y AES-128 o superior en el tráfico de media.
o Recomendable el tráfico SRTP para audio, vídeo y contenido (media) con cifrado AES-128 o superior.
o En tráfico UDP, asegurar el cifrado AES-128 y que el intercambio inicial de claves sea sobre un canal seguro en TLS.
o Se recomienda la utilización de certificados digitales (PKI) y listados de certificados verificados (CTL) para la autenticación entre los endpoints y su infraestructura de registro (SIP Register) y conmutación de video (MCU Bridge).
Terminales virtuales o móviles (App y software sobre plataformas)
Se consideran terminales virtuales a aquellas soluciones software tipo App o programas que emulan un terminal de video sobre una plataforma hardware de alta movilidad -como podrían ser portátiles, móviles y tabletas de uso personal-, y generalmente asignadas y autenticadas con el nombre del usuario de la solución.
La App/software debe provenir de repositorios verificados y autenticados como pueden ser los repositorios del fabricante o los repositorios de aplicaciones de los proveedores de la plataforma (Microsoft, Google, Apple, Samsung, LG, etc.). La identificación y autenticación mediante usuario y contraseña debe cumplir unos mínimos requisitos de fortaleza (ej.: longitud mínima recomendada de caracteres, combinación de letras, números y caracteres especiales, número máximo de intentos fallidos de autenticación, etc.).
Las conexiones entrantes deben ser aceptadas por el usuario, no debe existir la posibilidad de autorespuesta. Deben ofrecer la posibilidad de acceder a la sesión con o sin vídeo/audio. Las sesiones de vídeo deben de cumplir al menos con los siguientes requisitos relativos a la seguridad en las comunicaciones:
o Utilizar canales seguros TLS 1.2 o 1.3 en las llamadas cifradas para la señalización y AES-128 o 256 en el tráfico de media.
o Recomendable el tráfico SRTP para audio, video y contenido (media) con cifrado AES-128. o En tráfico UDP asegurar el cifrado AES-128 y asegurar que el intercambio inicial de claves sea sobre un canal seguro en TLS.
La compartición de documentos debe asegurar la confidencialidad de los datos y repositorios según determina el Esquema Nacional de Seguridad.
Infraestructuras
Se consideran infraestructuras a todos aquellos dispositivos de comunicaciones que proporcionan capacidades de registro de terminales, llamadas, reuniones multipunto, salidas y entradas de tráfico propio de la videoconferencia hacia internet a través de los cortafuegos. Se caracterizan por tener un comportamiento cliente-servidor. Pueden ser infraestructuras locales (on-premise), en la nube (Cloud VaaS o SaaS), o soluciones híbridas mezcla de las soluciones on-premise y cloud. Independientemente de su ubicación y tipología, todos los servidores o servicios de infraestructura deben cumplir de manera genérica los requisitos determinados según cada tecnología por el CCN-CERT en el Esquema Nacional de Seguridad (ENS) y específicamente algunos relativos a la tecnología de videoconferencia como los que se indican a continuación:
- Gestión segura con HTTPS y SSH.
- Autenticación H.235.
- H.460 Firewall Traversal. Según sus funcionalidades las infraestructuras se pueden catalogar como:
-
Sip Registrar y H323 Gatekeeper.
o Registra y autentica terminales y otros dispositivos de infraestructura.
o Dirige y monitoriza el tráfico de la videoconferencia.
o Capacidades de centralita, planes de llamada.
o Funciones de servidor proxy de video. - Firewall Traversal
o Asegura la comunicación LAN-WAN a través del firewall en conjunción con el SIP registrar o H323 Gatekeeper.
o Funciones de Call Routing, Marcación URI y Registro DNS.
• Multipunto (Bridge MCU de Multiconference Unit en inglés)
o Aloja las reuniones multipunto.
o Aseguran la compatibilidad entre diferentes códec de audio y video.
o Aseguran la compatibilidad entre diferentes plataformas de videoconferencia.
o Compatibilizan llamadas entre equipos y dispositivos con diferentes anchos de banda o protocolos de comunicación.
o Gestiona los parámetros de seguridad y administración de las sesiones.
Grabadores y repositorios de contenido.
Pasarelas multiprotocolo: o PSTN o MS Skype/Teams. o Google Hangouts.
Infraestructuras en la nube
Soluciones ofrecidas por el proveedor en un modo de suscripción y tipología cliente- servidor. Normalmente el usuario solo accede a opciones básicas de configuración y seguridad dejando en manos del proveedor el aprovisionamiento, seguridad y continuidad del servicio. Normalmente, se trata de soluciones Multitennant4.
Infraestructuras locales
Soluciones específicas de una organización en modo de uso y gestión privativa, gestionadas y alojadas habitualmente en los centros de proceso de datos de la organización y en modo de licenciamiento perpetuo.
Reuniones Multipunto (VMR – Virtual Meeting Room)
Se define como Virtual Meeting Room (VMR) a aquellas conferencias audio/video con múltiples participantes, que pueden ser terminales de las diferentes tipologías mencionadas anteriormente o invitados mediante un enlace de un único uso a la reunión. Pueden estar alojadas indiferentemente en infraestructuras on-premise o cloud.
Una Virtual Meeting Room (VMR) debe cumplir los siguientes aspectos de seguridad en el control y acceso:
- La invitación de acceso a estas sesiones puede ser vía email con información anonimizada de cómo conectarse a la sesión en función del dispositivo o tecnología, a elección del destinatario, o bien, llamadas específicas del organizador a los diferentes participantes. Se recomienda esta última opción en sesiones altamente confidenciales.
- Se recomienda que los enlaces de entrada a la VMR sean de un solo uso y se destruyan tras finalizar la sesión, aunque pueden existir VMR personales con el mismo identificador de sesión, extremando la seguridad de acceso.
- La VMR debe tener PIN diferenciado de administrador e invitado.
- Los invitados no deben poder acceder a la sesión hasta que el organizador no entre en la sesión.
- Una vez iniciada la sesión, el organizador o moderador deben poder cerrar el acceso a la sesión a nuevos participantes.
- Se pueden programar sesiones con el número exacto de participantes para evitar intrusiones accidentales.
- El moderador debe saber con información veraz quiénes están conectados a la sesión, con identificadores y nombres. Se ha de valorar si también los participantes deben conocer o no quiénes están en la sesión.
Cada vez que entre o salga un participante debe haber un indicador visual y sonoro.
El moderador debe tener las pertinentes herramientas de control y moderación para poder gestionar las conexiones de los participantes o para conectar o expulsar participantes, cerrar micrófonos, deshabilitar video o contenidos.
El moderador gestiona quiénes pueden grabar la reunión y siempre debe mostrarse a todos los participantes un indicador visual e incluso sonoro de que la sesión está siendo grabada.
En la VMR, además de tener comunicación audiovisual, se pueden compartir contenidos como documentos ofimáticos, imágenes y videos.
También se puede compartir el escritorio entero o seleccionar solo las aplicaciones a mostrar para garantizar la confidencialidad de los datos.
El sistema debe garantizar que no se pueden realizar capturas de pantalla del contenido presentado, mostrando un fondo en negro si se lanza alguna App de captura de pantalla.
Es recomendable poder distinguir entre participantes de la organización y participantes externos, bien durante la sesión en curso o bien cuando se ha generado la invitación de enlace a la VMR.
Cuando el moderador abandona la sesión, esta se debe cerrar salvo que se cedan los derechos de moderación a un tercero.
La VMR se puede cerrar automáticamente por inactividad al abandonar el último participante la sesión.
– Estructura de las reuniones virtuales
Es necesario disponer de servidores con infraestructura en la nube.
Es necesario disponer de un instalador en los equipos.
Utilizar un plugin de navegador o cliente.
Se debe establecer el volumen de asistentes concurrentes en la sala.
Las conexiones en el firewall únicamente se pueden abrir en modo saliente a la nube que ofrece el servicio, pues al instalarse en equipos que no van a tener supervisión se evita en la medida de los posible que sea una puerta de entrada de ataques.
– Controles de acceso
Se debe establecer qué usuarios pueden grabar la reunión. Los asistentes deben conocer a quién se le ha concedido este permiso.
Se puede establecer el auto cierre de la sala por inactividad.
Configurar el envío de alertas para la notificación de abandono de la sala del administrador. También se puede establecer el cierre de la sala en caso de que el administrador la abandone. En este último caso se debe prestar atención a posibles cortes en la conexión.
– Elementos que se pueden compartir
Documentos ofimáticos.
Escritorio.
Pizarras virtuales.
– Seguridad
Se han de revisar los elementos que se comparten entre los miembros de la sala. El administrador ha de tener un control de quiénes acceden a la sala y quiénes están grabando.
Se recomienda la utilización de un sistema de gestión de eventos automatizado (SIEM) que monitorice los logs de los clientes, con objeto de obtener un informe de uso de la herramienta. Dado que los usuarios pueden instalar la herramienta en equipos sin supervisión, es muy importante controlar que la herramienta únicamente se usa en horario laboral y para ello debe poder enviar eventos de sesión a algún SIEM.
Si se habilita la compartición de escritorio, se tiene que comprobar si están registradas todas las acciones de los usuarios.
Se puede distinguir entre conexiones con equipos internos de personal interno a reuniones con personal externo si se considera necesario una mayor revisión de la seguridad.
VIGILANCIA
La vigilancia de los accesos remotos y los registros de los mismos cobra una vital importancia a la hora de detectar ciberincidentes. Se recomienda que todos los accesos remotos se realicen a través de canales cifrados mediante la utilización de redes privadas virtuales (TLS1.2 o superior, IPSec) y con autenticación robusta de doble factor de autenticación (2FA); intentando evitar servicios de terminales (SSH, RDP…) con acceso directamente desde internet.
Una vez autenticados, los accesos remotos deben ser controlados por el firewall corporativo. Se desaconseja expresamente el acceso SMB y NetBios, por la posibilidad de propagación o de impacto de código dañino en caso de compromiso del equipo origen, así como RDP.
En caso de que la organización disponga de servicios accesibles desde internet que permitan el acceso a información potencialmente sensible, como sistemas de webmail o de correo electrónico en movilidad, se deben aplicar sobre ellos las mismas salvaguardas que sobre los sistemas de acceso remoto.
Siempre que se envíe información sensible a través de estos sistemas, se recomienda utilizar herramientas como PGP (Pretty Good Privacy) para la protección de la confidencialidad, integridad y autenticidad de la información.
Autenticación de acceso y perfilado del equipo mediante canales cifrados
Con el objetivo de mitigar el riesgo que supone el acceso remoto, la conexión debe cumplir con las siguientes características:
- El canal de comunicación debe ser cifrado (red privada virtual) y terminar en un firewall.
- Se debe perfilar el dispositivo en el momento de la conexión antes de obtener el acceso.
- El usuario que se conecte a la red debe tener credenciales corporativas (IDP Corporativo – Identity Provider) para validar la identidad.
- Deben definirse unos requisitos mínimos de conexión (postura de seguridad) para el dispositivo usado en el acceso remoto, bien sea un dispositivo corporativo o no corporativo (BYOD).
- En función de la postura de seguridad, se podría permitir o denegar el acceso y/o informar al administrador del resultado.
- La conexión debe solicitar un segundo factor de autenticación para evitar la suplantación de identidad.
- Los datos de la conexión deben quedar registrados y estar disponibles para su consulta ante posibles análisis forenses.
- Se debe proteger los accesos al equipo del teletrabajador por parte de personas no autorizadas en el emplazamiento en que se esté realizando el acceso remoto que, al no ser el corporativo, presenta riesgos mayores (por ejemplo, acceso de amigos, familia, posibles visitantes…). Para ello, es precisa la configuración de un adecuado control de acceso lógico al equipo de usuario (contraseñas adecuadas, bloqueo del puesto, etc.).
• Se han de controlar los privilegios de acceso remoto a recursos por parte del teletrabajador, que no tienen por qué ser los mismos que cuando se trabaja en local. Para ello, deberán implementarse mecanismos de control de acceso lógico a recursos corporativos desde accesos remotos.
Recomendaciones de Seguridad para situaciones de teletrabajo y refuerzo en vigilancia, CCN-CERT BP/18, Centro Criptológico Nacional del Gobierno de España.