✔ Al trabajar a distancia, se recurre a herramientas que permitan conectar a los empleados para realizar proyectos en equipo o reunirse para tomar decisiones. Se trata de las plataformas de videoconferencias, tan popularizadas en la actualidad. Las más habituales son Webex, Zoom, Skype o Microsot Teams.

El problema de estas plataformas es que pueden no cumplir con todos los requisitos de Privacidad desde el Diseño y por Defecto, presentando ciertas vulnerabilidades que permiten a los ciberdelincuentes acceder a la información personal de los usuarios.

Es por ello que dedicamos el post de hoy a enunciar las recomendaciones acaba de publicar a la Agencia Española de Protección de Datos (AEPD), para que, como usuarios, mitiguemos esas vulnerabilidades que puedan manifestarse en las plataformas de videoconferencias que utilizamos habitualmente. Estas recomendaciones se unen a las ya proporcionadas por el Instituto Nacional de Seguridad (INCIBE), el pasado año.

El pasado 30 de junio de 2020, el INCIBE publicó un post denominado “Videollamadas: riesgos asociados a su uso y recomendaciones de seguridad” (videollamadas-riesgos-asociados-su-uso-y-recomendaciones-seguridad) en el que alertaba de los riesgos que presentan las plataformas de videconferencias.

Las más habituales son el llamado “bombing” que ocurre cuando un tercero accede a la videoconferencia haciéndose pasar por un participante legítimo de forma que puede espiar dichas conversaciones; los ataques de denegación de servicios (DoS) que provocan una sobrecarga de la plataforma haciendo imposible que funcione; los accesos a las salas sin control de seguridad, originados por  utilizar contraseñas o enlaces de invitación a las salas de espera de video inseguras; así como no actualizar las últimas versiones de la plataforma y descargarlas a través páginas inseguras.

Para ayudar a evitar estos riesgos, el INCIBE junto con el Ministerio de Asuntos Económicos y Transformación Digital  facilitó unas recomendaciones básicas en el uso de plataformas de videollamadas (recomendaciones_seguridad_aplicaciones_videollamada.pdf), que son las siguientes:

  • Utilizar un plan empresarial en vez de uno básico.
  • Activar la sala de espera y bloquear la reunión.
  • Requerir contraseña para acceder a la reunión.
  • Vigilar a quien se pasa la convocatoria.
  • Apagar por defecto el video y la cámara.
  • Tener cuidado con lo que se comparte.
  • Conocer la política de privacidad de la herramienta.
  • Descargar el software actualizado desde la web oficial.
  • Cifrar las comunicaciones.

⚖️ CURSO ONLINE PARA EMPRESAS Y EMPLEADOS

Portada del vídeo de introducción al curso online de COVID

➥ Formación impartida por el Dpto. de Formación de Grupo Adaptalia

➥ Dirigido a empresas y empleados «con o sin opción de teletrabajo»

A estas recomendaciones, se unen los consejos básicos publicados recientemente por la AEPD el pasado 18 de febrero de 2021 en su post “Privacidad en reuniones online” (https://www.aepd.es/es/prensa-y-comunicacion/blog/privacidad-reuniones-online), que reproducimos en su literalidad a continuación:

  • Observe y siga las políticas establecidas por su organización para las reuniones online. Esto incluye la utilización exclusiva del proveedor tecnológico aprobado por la organización. 
  • En reuniones con un número elevado de asistentes y de diversas organizaciones, es conveniente designar al menos un participante que ayude al organizador durante su desarrollo en el control de los asistentes y cuestiones relativas a la privacidad y seguridad. 
  • Piense por adelantado en la sensibilidad de los temas a tratar, la identidad de los participantes y la posible difusión en caso de que la reunión sea grabada. 
  • Limite la reutilización de los códigos/enlaces de acceso. Si se ha usado el mismo código/enlace durante un tiempo, probablemente lo haya compartido con más personas de las que pueda imaginar o recordar. 
  • Si el asunto de la reunión es sensible, bien por el tema a tratar, la identidad de los participantes o cualquier otra cuestión, utilice códigos, urls de enlace y/o pines de acceso de un solo uso. Además, considere la necesidad de utilizar autenticación de doble factor. Esto evitará que alguien pueda unirse simplemente averiguando la URL de enlace o el código de acceso. 
  • Deshabilite las funcionalidades no necesarias como, por ejemplo, el chat, el intercambio de ficheros o la compartición de pantalla. 
  • En su caso, límite quién puede compartir pantalla para evitar cualquier imagen no deseada o inesperada. Antes de que alguien comparta su pantalla, recuérdele el riesgo de compartir información sensible. 
  • Realice la convocatoria únicamente a contactos concretos, evitando el envío de convocatorias a grupos o listas de correos, que incluyan enlaces que sean válidos tan solo por su posesión. 
  • Utilice una ‘sala de espera’ para poder ir admitiendo a los participantes, y no permita que la reunión comience hasta que se una el anfitrión. 
  • Habilite la notificación para cuando los asistentes se unen a la reunión. Podría ser mediante un tono característico o anunciando su nombre. Si su proveedor no lo permite, asegúrese de que el anfitrión pide a los nuevos asistentes que se identifiquen. 
  • Si está disponible, use un panel para comprobar los asistentes e identificar aquellos que sean genéricos. 
  • No grabe la reunión a menos que sea necesario. En tal caso, informe adecuadamente a los asistentes de la finalidad de la grabación y en qué momento se inicia/detiene la grabación. Algunos proveedores realizan estos avisos de forma automática. 
  • Antes de iniciar la reunión, compruebe qué área es visible detrás de usted y qué información personal está revelando. Considere la utilización de un fondo virtual que enmascare el segundo plano. 
  • Avise a posibles convivientes que se va a iniciar una reunión y tome las medidas para que su actividad no esté al alcance del micrófono y la cámara. 
  • Más allá de temas de eficiencia en la comunicación, durante la reunión, desactive el micrófono y la recogida de video cuando no sea necesario. En particular, si va a realizar alguna acción fuera del foco de la cámara. Preste especial atención a los micrófonos inalámbricos 
  • Sea consciente de que la captura de video y audio podría continuar, por algún tipo de error humano o de sistema, cuando usted cree que la reunión ha terminado. 
  • Cuando termine la reunión, asegúrese de utilizar un dispositivo que inhabilite físicamente la cámara (pestaña, adhesivo o similar). No retire el dispositivo hasta que se vaya a iniciar la conexión. 

Además, la AEPD advierte que en aquellos casos  en que se vayan a tratar datos o información muy sensible, es conveniente consultar con un profesional de seguridad y TI y adoptar las siguientes precauciones adicionales:

  • Utilice únicamente servicios de reuniones virtuales aprobados por su organización para esas situaciones, con cifrado de extremo a extremo y que utilicen pin o contraseñas únicas para cada asistente. Dé instrucciones para que no sean compartidas. 
  • Utilice los paneles de asistentes para tener controlado quién está en la reunión en todo momento. 
  • Bloquee el acceso a la reunión una vez que todos los participantes estén identificados. 
  • Permita únicamente a los anfitriones compartir pantalla. 
  • En caso de realizar grabaciones, deben ser cifradas mediante un algoritmo robusto y utilizando contraseñas fuertes. Elimine cualquier grabación que haya podido quedar almacenada en el proveedor. 
  • Solicite explícitamente a los asistentes que únicamente utilicen dispositivos proporcionados y/o aprobados por la organización.

⚖️ Estimado lector, si tiene alguna duda relacionada con la «protección de datos», no dude en ponerse en contacto con nosotros utilizando nuestro formulario corporativo.

Si te gustó este contenido quizás te interese…

Agentes vinculados y agentes exclusivos de seguros
El Presidente de la Región de Murcia pedirá a la AEPD la publicación del listado de vacunados
Caixabank sancionada con 6 millones de euros por infringir el RGPD