"Las empresas utilizan tecnologías de videoconferencia que no son seguras"
Tras la vulnerabilidad descubierta en Face Time, el software de videoconferencia de Apple, sale a la luz la dificultad de asegurar las llamadas grupales.
A raíz del escándalo de FaceTime, Maribel Poyato, Country Manager de Tixeo ,afirma: “La tecnología de Apple es una caja negra”. Poyato no se ha asombrado de la vulnerabilidad de FaceTime que salió a la luz ayer. La aplicación de videoconferencia de Apple dice cifrar las videollamadas grupales (videoconferencias multipunto), a pesar de que su arquitectura está basada en protocolo SIP. El problema, insiste, es que el gigante no suele dar detalles de cómo securiza sus productos. Esta vulnerabilidad permitía espiar a los usuarios de FaceTime incluso si estos no respondían a la videollamada. Apple utiliza el protocolo SIP, un protocolo de videoconferencia tradicional por el cual es muy difícil preservar la confidencialidad de las conversaciones en grupo, ya que los datos cifrados tienen que pasar por un servidor que los mezcla y los descifra. “Si un hacker accede al servidor se hace, por tanto, con la comunicación”, puntualiza Poyato. “Además es una tecnología que necesita abrir puertos que facilitan el espionaje. También hay que tener en cuenta que la Ley Patriota de los EEUU obliga a los proveedores americanos de tecnología a estar dotados de capacidades de escucha”. Securizar las conversaciones entre dos puntos es sencillo, los datos no tienen que pasar por un servidor donde se mezclan y descifran, el problema se da en entornos multipunto o videollamadas grupales.
Como medida preventiva y antes de actualizar la aplicación, Apple ha desactivado la funcionalidad en un movimiento sorpresa para todo el sector, y no hay noticias de que en los próximos días vuelva a estar operativa. El problema es grave porque además del audio, el blog 9to5Mac (descubridor del incidente) ha publicado que solo con presionar los botones para bloquear la llamada o los de apagado del dispositivo, el vídeo se envía automáticamente al emisor, sin que el destinatario lo sepa.
“FaceTime no es un caso aislado”
Para Poyato, ha quedado demostrado que FaceTime no es seguro en entornos multipunto, el problema no termina aquí ya que “no hablamos de un caso aislado”. Asegura que es francamente imposible encontrar en el mercado una solución totalmente segura, lo que merma sobre todo las capacidades de protección de las empresas, que recurren de forma constante a “tecnologías de videoconferencia no seguras” para mantener reuniones online. Por ello, dice, desde Tixeo han creado una arquitectura propia que hace que los flujos de vídeo, audio y datos pasen por el servidor sin mezclarse y sin descifrarse y así mantener la confidencialidad en todo momento en un entorno multipunto. Incluso si el servidor es atacado, la confidencialidad de la videoconferencia grupal está garantizada.
En conversación con CSO, el analista y cofundador de Zerolynx, Daniel González, explica que en España no estamos sensibilizados con el riesgo de utilizar sistemas estadounidenses a los que les afecta la US Patriot Act. “Además, falta concienciazación en cuanto al cifrado de las comunicaciones, en Zerolynx hemos apostado por Tixeo dado que es una solución robusta de videoconferencia que cifra las comunicaciones multipunto sin descifrar en su paso por el servidor".
