Desde que empezó la pandemia, millones de personas han aprendido a utilizar herramientas para trabajar en remoto de una forma colaborativa. La gran acogida que han tenido estos servicios por parte de los usuarios ha hecho que se preste más atención a un aspecto que antes se pasaba más por alto: la seguridad.
Investigadores de tres universidades estadounidenses han publicado un estudio sobre la famosa función de silenciar el micrófono en los programas más populares para comprobar si hace realmente lo que dice. En este estudio ha habido resultados de todo tipo, pero, sin duda, estos indican que es momento de reconsiderar nuestra postura acerca de la privacidad durante las llamadas de trabajo.
¿Cómo surge este estudio?
Es bastante obvio. Si has utilizado alguna vez Microsoft Teams, habrás vivido esta situación: entras en una llamada con el micrófono silenciado y empiezas a hablar sin darte cuenta de que tienes el micrófono silenciado e inmediatamente después el programa te recuerda que el micrófono está silenciado. Está claro que esta función (que hay que reconocer que es bastante útil) no se puede ejecutar si el botón de silenciar desconecta el micrófono por completo. Entonces, ¿cómo se implementa realmente esta función? ¿Se envía el sonido del micrófono al servidor del programa, aunque esté el modo de silenciar activado?
Estas son algunas preguntas que se plantearon los autores del estudio. ¿Pero cómo comprobarlo? Para dar respuesta a estas preguntas, los investigadores analizaron el funcionamiento del micrófono en un total de diez servicios, basándose en llamadas realizadas a través del navegador.
Resultados de la investigación
Desde el punto de vista de la privacidad, la mejor solución para las teleconferencias parecía ser un cliente web. Todos los servicios de conferencias online se probaron en un navegador de código abierto como es el caso de Chromium (la base de muchos navegadores como Google Chrome y Microsoft Edge). De esta forma, todos los servicios deben cumplir las reglas de interacción con el micrófono establecidas por los desarrolladores del motor del navegador. Es decir, cuando se activa el botón de silencio del micrófono en la interfaz web, el servicio no debe captar ningún sonido. Pero las aplicaciones nativas de escritorio tienen más permisos.
Los investigadores analizaron cómo y cuándo interactuaba la aplicación con el micrófono, comparando los datos de audio capturados desde este con el flujo de información enviado al servidor. El resultado fue, como era de esperar, que cada programa tiene un comportamiento diferente. Veamos qué es lo que descubrieron sobre las herramientas más conocidas:
Zoom
Zoom es un claro ejemplo de comportamiento “respetuoso”. En el modo de micrófono silenciado no captura el flujo de audio; es decir, no escucha lo que sucede a su alrededor. Además, solicita regularmente información que le permite determinar el nivel de ruido cerca del micrófono. En cuanto detecta que empiezas a hablar, o simplemente haces ruido, el cliente te recuerda, como siempre, que debes activar el audio.
Microsoft Teams
En este caso las cosas son un poco más complicadas. Microsoft Teams no utiliza la interfaz estándar del sistema para la interacción con el micrófono, en su lugar, se comunica directamente con Windows. Por ello, los investigadores no pudieron averiguar en detalle cómo gestiona el modo silencioso durante una llamada.
Cisco Webex
Cisco Webex resultó tener el comportamiento más entraño de todas las opciones analizadas. Esta plataforma procesa constantemente el sonido del micrófono durante la llamada, independientemente del estado (activado o desactivado) del audio dentro de la aplicación. Sin embargo, al investigar el cliente con más detalle, se descubrió que Webex no espía como tal, ya que, en el modo silenciado, el sonido no se transmite al servidor remoto. Pero sí envía metadatos como el nivel de volumen de la señal.
A simple vista, esto no parece algo preocupante. Sin embargo, basándose únicamente en estos metadatos, sin acceso al flujo de audio real, se pudieron suponer una serie de parámetros básicos de lo que estaba ocurriendo en el entorno del usuario. Por ejemplo, fue posible determinar de una forma bastante fiable si el usuario, estando conectado a una llamada de trabajo, había apagado el micrófono y la cámara y estaba pasando la aspiradora por casa, cocinando o había un perro ladrando cerca. Fue posible hasta saber si había otras personas en la habitación (por ejemplo, determinar que la llamada procedía de un lugar público). Para esto se utilizó un algoritmo parecido, en cierto modo, al de Shazam y otras aplicaciones de reconocimiento de música. Para cada “muestra de ruido”, se creó un conjunto de patrones y se comparó con los datos capturados del cliente Cisco Webex.
Niveles de privacidad
El estudio ofrece algunos consejos prácticos y confirma lo que era un secreto a voces: no tenemos un control real sobre los datos que se recopilan sobre nosotros ni cómo se lleva esto a cabo. Aunque también hay que decir que no se ha detectado en este estudio ninguna ilegalidad en el funcionamiento de las herramientas analizadas.
Si, a pesar de estos resultados positivos, te sigue preocupando tener una aplicación instalada en tu ordenador con acceso constante al micrófono, una solución es, siempre que sea posible, conectarte a través del cliente web. Sí, las funciones serán limitadas, pero aumentará tu privacidad: el botón de silenciar el micrófono en ese caso sí que desconecta realmente el micrófono del servicio.
Otra opción es la de utilizar el botón de silenciado del micrófono del hardware, si lo tiene tu ordenador. O unos auriculares externos, ya que en los modelos de gama alta suelen aislar el micrófono del ordenador sin necesitar un software de por medio.
El verdadero peligro no son estas herramientas en sí mismas, sino el malware que puede espiar a las víctimas y enviar las grabaciones de audio de esas conversaciones a sus desarrolladores. En este caso, no solo se necesita una solución de seguridad que se ocupe de los programas no deseados, sino también de un medio para controlar quién accede al micrófono y cuándo, en caso de que un programa legítimo decida hacerlo sin preguntar. Las soluciones de Kaspersky, tanto para uso personal como para empresas, cuentan con una función independiente que te informa cuándo un software intenta acceder al micrófono o a la cámara web.