Mozilla examina regularmente la seguridad de diversos productos y soluciones, desde productos del ámbito IoT como relojes inteligentes y auriculares inalámbricos hasta juguetes y productos domésticos inteligentes. En esta oportunidad, la compañía ha evaluado 15 de las soluciones de videoconferencia más utilizadas.
Mozilla otorga un sello de aprobación a todos los productos que cumplen lo que la compañía considera un mínimo de normas de seguridad. Esto significa, entre otras cosas, que las soluciones deben utilizar encriptación para todas las comunicaciones de red, de modo que no puedan ser interceptas nada ni tampoco se pierdan los datos de los clientes. Las soluciones también deben ser objeto de actualizaciones periódicas de seguridad, deben requerir el uso de contraseñas seguras, el proveedor debe tener rutinas para hacer frente a las vulnerabilidades que surjan, y también debe contar con políticas de privacidad diseñadas específicamente para el producto en cuestión.
“El fuerte crecimiento del uso ha hecho que estas empresas se vean presionadas para mejorar la privacidad y la seguridad de todos los usuarios. Esto debería servir como una llamada de atención para el resto de la industria tecnológica”, dice Ashley Boyd en el blog de Mozilla.
12 de 15 recibieron sello de aprobación
Últimamente, debido a su uso incrementado debido a la pandemia, se ha hablado mucho de la seguridad y la privacidad en las aplicaciones de videoconferencia, y especialmente la popular solución Zoom ha sido objeto de críticas. Sin embargo, Zoom ha lanzado actualizaciones que solucionan muchos de los problemas, incluyendo una mejor encriptación.
Doce de las 15 soluciones evaluadas, incluyendo Zoom, recibieron el sello de aprobación “cumple con nuestros estándares mínimos de seguridad”. En su informe, Mozilla escribe que Zoom ha recibido recientemente muchas críticas por deficiencias relacionadas con la seguridad y la privacidad, destacando que todavía no incorpora encriptación de extremo a extremo (sólo encriptación cliente-servidor). Sin embargo, Mozilla cree que Zoom ha manejado bien las críticas y ha encontrado soluciones rápidamente y que proporciona actualizaciones de seguridad varias veces al mes, requiere credenciales de acceso sólidas y tiene un buen sistema para hacer frente a cualquier vulnerabilidad que pueda surgir. Mozilla afirma que ellos mismos usan Zoom internamente.
Microsoft Teams también obtuvo un sello de aprobación. Mozilla observa que aunque muchos han cambiado de Zoom a Teams después de haber leído sobre las vulnerabilidades en los medios de comunicación, Microsoft Teams no parece estar usando encriptación de extremo a extremo tampoco; sólo encriptación cliente-servidor. Pero Teams supera a Zoom debido a sus actualizaciones de seguridad siempre al día, requerir contraseñas fuertes y manejar bien las vulnerabilidades – incluyendo un programa de “recompensa por errores” donde es posible obtener un pago por notificar agujeros de seguridad.
Las otras soluciones aprobadas fueron: Google Duo / Hangouts / Meet, Apple Facetime, Microsoft Skype, Facebook Messenger y Messenger Kids, Facebook Whatsapp, Jitsi Meet, Signal, Verizon Bluejeans, Logmein Gotomeeting y Cisco Webex. De todos modos, varias de estas soluciones fueron criticadas en algunos puntos, y pocas de ellas tenían encriptación de extremo a extremo.
Las tres soluciones reprobadas
Las tres soluciones que no obtuvieron el sello de aprobación son Houseparty, Discordia y Doxy.me. El hecho de que esta última no haya sido aprobada, y que haya sido la peor de todas, es quizás un poco preocupante. Es una solución que se utiliza para las videollamadas entre médicos y pacientes. Doxy.me tiene encriptación de extremo a extremo, pero no requiere de contraseñas fuertes – incluso la contraseña “123” fue aprobada durante las pruebas.
Houseparty y Discordia también permiten a los usuarios seleccionar contraseñas débiles. Houseparty está hecho por Epic Games, la compañía detrás del juego Fortnite. Permite que hasta ocho personas participen en la misma videoconferencia (“sala”), pudiendo crear tantas salas como se desee. Sin embargo, puede ser fácil para personas no autorizadas entrar en las mismas. Además, Houseparty recopila datos sobre los usuarios, los comparte con terceros y los utiliza con fines de marketing, según escribe Mozilla en su informe.
En esta página, Mozilla ha publicado información detallada sobre los distintos servicios de vídeo, con sus conclusiones.